问如何在AWS云中添加SSL证书和制作网站HTTPS？

EN

• 1)是的，一个ELB需要两个子网--但您不必在两个子网中都运行一台服务器(但很明显，您无法获得双服务器的好处/成本)。在亚马逊网络服务中，转到VPC部分，在正确的VPC中创建新的子网-然后您应该能够创建一个ELB (它可能会抱怨第二个子网-但如果该子网内没有实例，则无关紧要)。
• 2)不能，但如果您想要使用免费的ACM证书，则必须将其安装在负载均衡器或CloudFront分发级别。没有什么可以阻止您在EC2上安装自己的证书，配置apache使用它，然后根据需要续订它。请访问LetsEncrypt获取免费证书，或在线购买证书。

要记住的几件事：

• 针对TLS/HTTPS的“最佳实践”在不断变化。亚马逊网络服务通过提供策略来解决这一难题，因此更新到最新标准非常简单，并且不需要更改您的ec2 (因为它通过端口80与ELB通信)
• 如果您决定管理自己的证书，请查看SSL Labs证书测试器(https://www.ssllabs.com/ssltest/)以帮助您确保配置正确。

让我以内联方式回答问题。

问题1)配置弹性负载均衡需要2个公网子网吗？不能像我这样只配置一个子网的负载均衡吗？如果是，那么请告诉我怎么做？

是。您必须至少从两个可用区指定子网，才能提高负载均衡的可用性。这就是为什么您至少需要两个子网(每个可用区至少有一个子网)。在运行EC2实例时，建议同时在两个可用区(分配给负载均衡器)中使用弹性伸缩来实现高可用性和容错。

问题2)是否真的需要在路由53和EC2实例之间使用负载均衡器来实现站点的HTTPS？是否可以配置路由53和SSL证书直接监听EC2实例，并使站点HTTPS？

如果您使用的是Amazon Certificate Manager (ACM)颁发的SSL证书，则必须执行此操作。否则，如果您使用外部购买的SSL证书，则可以在EC2实例web服务器级别配置SSL证书。

注:另一种方法是使用AWS作为代理(也适用于使用CloudFront证书的SSL终止)，并将请求代理到EC2实例(如果您不想为负载均衡器付费，其中CloudFront成本基于请求的数量，而不是负载均衡器的每小时费用)。