Min*_*.On 2 security ssl load-balancing amazon-web-services amazon-elb
我对安全有一些担忧,想知道 AWS 将如何存储部署到 ELB 的 SSL 证书。我的域有一个通配符 SSL 证书,我想确保它不会在我不知道保护它的步骤的任何地方持续存在。
我正在尝试在通过 HTTPS 提供服务的 AWS 上设置一个非常简单的图像服务器。我所做的是在 T2-micro 上创建一个 nginx 服务器,该服务器使用我的图像代理到 S3 存储桶,并将其放在 ELB 后面。如果我把它放在 ELB 上,那个证书最终会在哪里保存?
作为旁注,AWS 是否真的支持将 SSL 卸载到 ELB 指向的实例?我发现在某些文档中这是可能的提示,但在该提示之外找不到任何其他内容。
如果我把它放在 ELB 上,那个证书最终会在哪里保存?
证书存储在 IAM 中。
它们应该像您的帐户凭据一样安全,因此一旦您获得此信息,这对我来说似乎是一个错误的关注点。
ELB 实例在启动或扩展时从 IAM 获取证书、链和私钥。
请注意,当然,保护您的“证书”是一个愚蠢的概念。您的证书和链是公开的。它们被尽职尽责地交给任何建立连接的网络浏览器。这就是 SSL 的工作原理。需要保护的部分当然是私钥。没有它,您的证书就不会被滥用。
IAM 确保了这一点。如此之多,以至于您一旦存储它就无法取回它。
如果您决定,无论出于何种原因,您想从 IAM 获取您的证书及其私钥......好吧,您不能。
您可以列出、覆盖它们以及从 IAM 数据库中删除它们,但即使是账户所有者也无法检索。他们有保障。
可以说,在您的实例中,随附的私钥会不太安全……但是……
您可以让 ELB 平衡与自己处理 SSL 的实例的 TCP 连接,只需将 ELB 侦听器配置为 TCP 模式,而不是 HTTP。
当然,这会给您的实例带来更多工作,并且它不称为“卸载”——术语相反——这种配置将是“不卸载”。卸载将是正常模式——处于 SSL 模式的 ELB 正在为实例执行 SSL 卸载——处理 SSL而不是实例本身,处理它们自己的 SSL。