Dev Faq
2
votes

SSL AWS avec domaine Google pour site Web statique dans S3

J'essaie d'ajouter HTTPS à mon site Web statique hébergé dans un compartiment S3 avec un domaine acheté auprès de Google's Domains. Je sais que pour configurer CloudFront Distribution, je dois envoyer le certificat SSL d'AWS Certificate Manager à Google.

Voici ce que j'ai fait:

Depuis AWS Certificate Manager:

  • Demander un certificat
  • Demander un certificat public
  • Nom de domaine: * .myweb.com et myweb.com , en suivant cette réponse ici .
  • Méthode de validation: validation DNS
  • Ensuite, j'ai le Nom , le Type et la Valeur pour mon CNAME.
  • Je suis allé sur Google Domains et j'ai ajouté les valeurs que j'ai obtenues d'AWS à: Enregistrements de ressources DNS / personnalisés, mais mes demandes de certificat AWS sont toujours en attente. J'ai déjà essayé et les demandes n'ont pas été acceptées, elles ont donc expiré.

J'ai regardé le guide ici , ici , ici et ici sans aucune chance.

Mise à jour du 10 mai:

Merci beaucoup à @hephalump pour son aide. En plus de sa réponse, il m'a envoyé ceci très utile lien depuis AWS .

Dans mon cas, c'était légèrement différent de la vidéo de Geoff:

  • Après avoir créé CloudFron Distribution, j'ai ajouté 2 jeux d'enregistrements aux zones hébergées AWS Route 53: 
Name: mywebsite.com - Type: A - Value (ALIAS target): CloudFront Distribution (from the list).
Name: www.mywebsite.com - Type: A - Value (ALIAS target): mywebsite.com (on the bottom of the list).

et maintenant cela fonctionne.

2 commentaires

Pouvez-vous nous indiquer où avez-vous ajouté l'enregistrement ci-dessus, était-ce dans le domaine Google ou sur la route 53?

J'ai ajouté les enregistrements aux zones hébergées Route 53

3 Réponses :

4
votes

Étant donné que vous utilisez les services AWS, vous pouvez envisager sérieusement d'utiliser Route53 pour votre DNS; cela vous facilitera la vie.

Même si vous n'utilisez pas Route53, vous pouvez toujours utiliser la méthode de validation DNS pour valider votre certificat. Sinon, si cela ne fonctionne pas, vous pouvez utiliser la méthode de vérification des e-mails qui est également très fiable.

Pour utiliser la méthode de validation DNS avec les domaines Google, procédez comme suit:

Sur l'écran de confirmation du certificat AWS Certificate Manager, obtenez quelque chose comme:

NOM: _3341936be9c722351e9e3345d5118ee28.votredomaine.com.

TYPE: CNAME

VALEUR: _3341936be9c722351e9e3345d5118ee28.ltfvzjuylp.acm-validations.aws.

Rendez-vous sur le gestionnaire de domaine Google et accédez à la section Enregistrements de ressources personnalisés. Dans le premier champ, saisissez _3341936be9c722351e9e3345d5118ee28 . Dans le menu déroulant, sélectionnez CNAME. Dans le TTL, entrez 1H . Dans le champ de données, saisissez _3341936be9c722351e9e3345d5118ee28.ltfvzjuylp.acm-validations.aws . Enfin, cliquez sur Ajouter.

Alors attendez. Vous devez attendre que l'enregistrement DNS se propage, et vous devez attendre qu'ACM le vérifie. Cela peut prendre jusqu'à 1 heure.

MODIFIER: Comme il semble que vous utilisez Route53 pour gérer votre DNS, c'est vraiment facile. Quel que soit l'emplacement de votre compartiment, assurez-vous de demander votre certificat dans la région US-EAST-1 (Virginie du Nord). Suivez toutes les étapes de la demande et sur «Étape 4: Validation», lorsque le certificat est généré, cliquez sur «Créer un enregistrement dans Route 53». Attendez 5 minutes et si Route53 gère effectivement votre DNS, votre certificat sera prêt à être utilisé.

Agrandir l'image

16 commentaires

Merci @hephalump. J'ai fait exactement ce que vous avez suggéré et je l'ai également mentionné dans ma question. Ça ne marche pas pour moi. L'option de messagerie n'est pas possible car j'utilise des serveurs de noms personnalisés d'AWS pour héberger le bucket.

L'option de vérification des e-mails pour les certificats envoie un e-mail aux contacts du domaine ainsi qu'à l'administrateur, au postmaster, au webmaster, etc., rien à voir avec les entrées DNS.

Sur la page du domaine de Google, il est indiqué Il semble que vous ayez changé vos serveurs de noms. Tous les paramètres de votre domaine (y compris le site Web, la messagerie électronique, les enregistrements synthétiques et les enregistrements de ressources) sont actuellement désactivés. Pour activer ces paramètres, vous devrez restaurer les serveurs de noms Google Domains. Même avec le transfert d'e-mails, je ne peux pas recevoir d'e-mails d'AWS. J'ai essayé ça.

Où avez-vous changé vos serveurs de noms?

Avez-vous modifié l'adresse e-mail du propriétaire du domaine en une adresse du domaine avec lequel vous travaillez? C'est TRÈS dangereux. Si c'est le cas, vous devriez changer l'adresse e-mail du propriétaire du domaine en une adresse e-mail d'un autre domaine.

Je suis passé à awsdns en suivant les documents AWS sur la façon d'héberger un site Web statique avec S3. Non, l'adresse e-mail du propriétaire du domaine reste mon adresse e-mail personnelle.

Malheureusement, à l'étape 4, je n'ai pas cette option. Même si j'ai mon site Web dans la zone hébergée Route53. J'ai mis à jour ma question.

Cliquez sur la flèche pour développer la zone de détails. Cliquez dessus pour agrandir l'espace. J'ai mis à jour l'image pour indiquer où cliquer.

Regardez l'image qui indique que les enregistrements ont été écrits avec succès et que vous devez maintenant attendre la validation; 30 minutes ou plus. Une fois que son statut est «émis», vous pouvez configurer cloudfront pour l'utiliser.

J'ai attendu un jour (24 heures). Cela n'a pas fonctionné. J'ai essayé à nouveau ne fonctionne toujours pas.

Quel est le domaine?

C'est mon site personnel: vietducnguyen.com

Quels sont les serveurs de noms dans la zone Route53 qui ont le certificat acm?

Les voici: ns-455.awsdns-56.com. ns-962.awsdns-56.net. ns-1906.awsdns-46.co.uk. ns-1042.awsdns-02.org. Merci de votre patience.

@Viet rien là-bas

continuons cette discussion dans le chat .

2
votes

J'ai essayé la même chose en ajoutant des CNAME à l'aide du gestionnaire DNS de domaine Google. Pour moi, le problème était qu'au lieu d'ajouter uniquement la partie alphanumérique, j'ajoutais la chaîne entière, y compris le domaine. Une fois que j'ai enlevé cela, je crois, cela aurait pu prendre moins d'une heure. Passez par le lien ci-dessous et portez une attention particulière à celui de la section «important». https://docs.aws.amazon. com / acm / latest / userguide / gs-acm-validate-dns.html

À partir du lien ci-dessus.

Les informations CNAME dont vous avez besoin n'incluent pas le nom de votre domaine. Si vous incluez votre nom de domaine dans la base de données DNS CNAME enregistrement, la validation échoue. Par exemple, le nom affiché peut ressembler à ce qui suit:

_a79865eb4cd1a6ab990a45779b4e0b96.yourdomain.com Cependant, les informations CNAME requises incluent uniquement les éléments suivants:

_a79865eb4cd1a6ab990a45779b4e0b96

1 commentaires

Merci Anoop! Je me demandais pourquoi le mien ne s'était pas résolu en ~ 72 heures

0
votes

Tout ce que @hephalump a dit, mais aussi - et je ne suis pas un ingénieur réseau, donc un aperçu de cela serait apprécié:

J'utilise des serveurs de noms AWS comme serveurs de noms personnalisés sur mon domaine Google - donc même si mon domaine n'est pas enregistré auprès d'AWS, les enregistrements CNAME doivent toujours être placés sur la route 53

Si vous avez permuté vos serveurs de noms, ajoutez les CNAME à Route53 au lieu de google

0 commentaires

Articles qui pourrait vous intéresser :

AWS Fargate est-il meilleur que les groupes de nœuds gérés Amazon EKS?
Comment envoyer des e-mails à plusieurs destinataires via AWS SES
Hôte DynamoDB inaccessible lors de l'exécution de la simulation d'amplification
Erreur de méthode 405 non autorisée dans AWS Cognito oauth2 / token endpoint