Security

AWS ELB 上 SSL 證書的安全性 / SSL 解除安裝

  • October 20, 2017

我對安全性有些擔憂,想知道 AWS 將如何儲存部署到 ELB 的 SSL 證書。我的域有一個萬用字元 SSL 證書,我想確保它不會在我不知道為保護它而採取的步驟的任何地方持續存在。

我正在嘗試在 AWS 上設置一個通過 HTTPS 提供服務的非常簡單的圖像伺服器。我所做的是在 T2-micro 上創建一個 nginx 伺服器,該伺服器使用我的圖像代理到 S3 儲存桶,並將其放在 ELB 後面。如果我把它放在 ELB 上,該證書最終會在哪裡持續存在?

作為旁注,AWS 是否真的支持將 SSL 解除安裝到 ELB 指向的實例?我在某些文件中發現了提示,但在該提示之外找不到任何其他內容。

如果我把它放在 ELB 上,該證書最終會在哪裡持續存在?

證書儲存在 IAM 中。

它們應該像您的帳戶憑據一樣安全,所以一旦您獲得此資訊,對我來說,這似乎是一個錯誤的擔憂。

ELB 實例在啟動或擴展時從 IAM 獲取證書、鍊和私鑰。

當然,請注意,保護您的“證書”是一個愚蠢的概念。您的證書和鍊是公開的。他們盡職盡責地移交給任何建立連接的網路瀏覽器。這就是 SSL 的工作原理。當然,需要保護的部分是私鑰。沒有它,您的證書就不能被濫用。

IAM 確保了這一點。如此之多,以至於一旦您儲存它,即使您也無法取回它。

如果您出於某種原因決定要從 IAM 獲取您的證書及其私鑰……那麼,您不能。

您可以將它們列出、覆蓋並從 IAM 數據庫中刪除,但即使是賬戶所有者也無法檢索。他們是安全的。

可以說,在您的實例上,隨附的私鑰會不太安全……但是……

您可以讓 ELB 平衡 TCP 連接到為自己處理 SSL 的實例,只需將 ELB 偵聽器配置為 TCP 模式,而不是 HTTP。

當然,這會給您的實例帶來更多的工作,而且它不被稱為“解除安裝”——術語是相反的——這種配置將是“不解除安裝”。解除安裝將是正常模式——SSL 模式下的 ELB 正在為實例執行 SSL 解除安裝——處理 SSL而不是實例本身,處理它們自己的 SSL。

引用自:https://serverfault.com/questions/785092