AWS SSL с доменом Google для статического веб-сайта в S3

Я пытаюсь добавить HTTPS на свой статический веб-сайт, размещенный в корзине S3 с доменом, купленным у Google Domains. Я знаю, что для настройки CloudFront Distribution мне нужно отправить сертификат SSL из AWS Certificate Manager в Google.

Вот что я сделал:

Из AWS Certificate Manager:

  • Запросить сертификат
  • Запросить публичный сертификат
  • Имя домена: *.myweb.com и myweb.com, следуя этому ответу, здесь.
  • Метод проверки: проверка DNS
  • Затем у меня есть Name, Type и Value для моего CNAME.
  • Я зашел в Google Domains, добавил значения, полученные от AWS, в: DNS / пользовательские записи ресурсов, но мои запросы на AWS Cert все еще ожидают обработки. Я пробовал раньше, и запросы не были приняты, поэтому срок их действия истек.

Я просмотрел руководство здесь, здесь , здесь и здесь безуспешно.

Обновление от 10 мая:

Большое спасибо @hephalump за его помощь. В дополнение к своему ответу он прислал мне этот очень полезный ссылка с AWS.

В моем случае это немного отличалось от видео Джеффа:

  • После создания CloudFron Distribution я добавил 2 набора записей в размещенные зоны AWS Route 53:
Name: mywebsite.com - Type: A - Value (ALIAS target): CloudFront Distribution (from the list).
Name: www.mywebsite.com - Type: A - Value (ALIAS target): mywebsite.com (on the bottom of the list).

и теперь это работает.


ssl amazon-web-services amazon-s3 static-site google-domains
person Viet    schedule 04.05.2019    source источник
comment
Не могли бы вы сообщить нам, куда вы добавили указанную выше запись: в домене Google или на маршруте 53?   -  person Anoop Isaac    schedule 25.08.2020
comment
Я добавил записи в зоны хостинга Route 53   -  person Viet    schedule 25.08.2020

Ответы (3)


arrow_upward
5
arrow_downward

Поскольку вы используете сервисы AWS, вы можете серьезно подумать об использовании Route53 для своего DNS; это сделает вашу жизнь намного проще.

Даже если вы не используете Route53, вы все равно можете использовать метод проверки DNS для проверки вашего сертификата. В качестве альтернативы, если это не работает, вы можете использовать метод проверки электронной почты, который также очень надежен.

Чтобы использовать метод проверки DNS с доменами Google, вы должны сделать следующее:

На экране подтверждения сертификата AWS Certificate Manager получите что-то вроде:

ИМЯ: _3341936be9c722351e9e3345d5118ee28.yourdomain.com.

ТИП: CNAME

ЗНАЧЕНИЕ: _3341936be9c722351e9e3345d5118ee28.ltfvzjuylp.acm-validations.aws.

Перейдите в диспетчер домена Google и перейдите в раздел Custom Resource Records. В первом поле введите _3341936be9c722351e9e3345d5118ee28. В раскрывающемся меню выберите CNAME. В TTL введите 1H. В поле данных введите _3341936be9c722351e9e3345d5118ee28.ltfvzjuylp.acm-validations.aws. Наконец, нажмите «Добавить».

Тогда подожди. Вам нужно дождаться распространения записи DNS и дождаться, пока ACM ее проверит. Это может занять до 1 часа.

РЕДАКТИРОВАТЬ: Поскольку кажется, что вы используете Route53 для обработки DNS, это очень просто. Независимо от того, где находится ваша корзина, убедитесь, что вы запрашиваете сертификат в регионе US-EAST-1 (Северная Вирджиния). Выполните все шаги запроса и на «Шаге 4: Проверка», когда сертификат будет сгенерирован, нажмите «Создать запись в Route 53». Подождите 5 минут, и если Route53 действительно обрабатывает ваш DNS, ваш сертификат будет готов к использованию.

Развернуть изображение

person hephalump    schedule 04.05.2019
comment
Спасибо @hephalump. Я сделал именно то, что вы предложили, и также упомянул об этом в своем вопросе. У меня это не работает. Опция электронной почты невозможна, поскольку я использую собственные серверы имен от AWS для размещения корзины. - person Viet; 04.05.2019
comment
Опция проверки электронной почты для сертификатов отправляет электронное письмо контактам домена, а также администратору, почтмейстеру, веб-мастеру и т. Д., Не имеющего отношения ни к одной из записей DNS. - person hephalump; 05.05.2019
comment
На странице домена Google указано It looks like you've changed your name servers. All settings for your domain (including website, email, synthetic records and resource records) are currently disabled. To enable these settings, you will need to restore the Google Domains name servers. Даже с пересылкой электронной почты я не могу получать электронные письма от AWS. Я пробовал это. - person Viet; 05.05.2019
comment
На что вы поменяли серверы имен? - person hephalump; 05.05.2019
comment
Вы изменили адрес электронной почты владельца домена на адрес домена, с которым работаете? Это ОЧЕНЬ опасно. Если у вас есть, вы должны пойти и изменить адрес электронной почты владельца домена на адрес электронной почты в другом домене. - person hephalump; 05.05.2019
comment
Я перешел на awsdns, следуя документам AWS о том, как разместить статический веб-сайт с S3. Нет, адрес электронной почты владельца домена по-прежнему является моим личным адресом электронной почты. - person Viet; 05.05.2019
comment
К сожалению, на шаге 4 у меня нет такой возможности. Хотя мой сайт находится в зоне хостинга Route53. Я обновил свой вопрос. - person Viet; 07.05.2019
comment
Щелкните стрелку, чтобы развернуть область сведений. Щелкните его, чтобы расширить пространство. Я обновил изображение, чтобы указать, где щелкнуть. - person hephalump; 07.05.2019
comment
Посмотрите на изображение, где говорится, что записи были успешно записаны, и теперь вам нужно дождаться проверки; 30 минут или дольше. Как только его статус будет «выпущен», вы можете настроить облачный интерфейс для его использования. - person hephalump; 09.05.2019
comment
Я ждал сутки (24 часа). Это не работает. Я попробовал еще раз, но все равно не работает. - person Viet; 09.05.2019
comment
Что такое домен? - person hephalump; 09.05.2019
comment
Это мой личный сайт: vietducnguyen.com - person Viet; 09.05.2019
comment
Какие серверы имен в зоне Route53 имеют сертификат acm? - person hephalump; 09.05.2019
comment
Вот они: ns-455.awsdns-56.com. ns-962.awsdns-56.net. ns-1906.awsdns-46.co.uk. ns-1042.awsdns-02.org. Спасибо за терпение. - person Viet; 10.05.2019
comment
@Viet там ничего - person hephalump; 10.05.2019
comment
Позвольте нам продолжить это обсуждение в чате. - person Viet; 10.05.2019

arrow_upward
3
arrow_downward

Я пробовал то же самое, добавляя CNAME с помощью диспетчера DNS домена Google. Для меня проблема заключалась в том, что вместо добавления буквенно-цифровой части я добавлял всю строку, включая домен. Думаю, после того, как я его удалил, это могло занять меньше часа. Перейдите по ссылке ниже и обратите особое внимание на ссылку под «важным» разделом. https://docs.aws.amazon.com/acm/latest/userguide/gs-acm-validate-dns.html.

Из приведенной выше ссылки.

Информация CNAME, которая вам нужна, не включает имя вашего домена. Если вы включите свое доменное имя в запись CNAME базы данных DNS, проверка завершится неудачно. Например, отображаемое Имя может выглядеть следующим образом:

_a79865eb4cd1a6ab990a45779b4e0b96.yourdomain.com Однако необходимая информация CNAME включает только следующее:

_a79865eb4cd1a6ab990a45779b4e0b96

person Anoop Isaac    schedule 25.08.2020
comment
Спасибо, Ануп! Мне было интересно, почему мой не разрешился за ~ 72 часа - person Schalton; 20.10.2020

arrow_upward
0
arrow_downward

Все, что сказал @hephalump, но также - и я не сетевой инженер, поэтому понимание этого было бы признательно:

Я использую серверы имен AWS в качестве собственных серверов имен в моем домене google - поэтому, даже если мой домен не зарегистрирован в AWS, записи CNAME все равно необходимо разместить на маршруте 53.

Если вы поменяли местами свои серверы имен - добавьте CNAME в Route53 вместо google

person Schalton    schedule 23.10.2020