Нужно ли устанавливать ssl-сертификат с IP-адресом tomcat

Rohini

18.05.2023, 05:58

У меня есть ssl-сертификат, установленный на балансировщике нагрузки AWS (app1.company.com) и один экземпляр с Tomcat находится за LB.

если я открою https://app1.company.com:8443/ Я вижу, что соединение является безопасным/действительным замком на панели URL. Если я открываю частный IP-адрес Tomcat, я вижу, что соединение не является безопасным.

Я знаю, что обычно сертификаты привязываются только к домену (или только должны). И никто не собирается использовать IP-адрес для доступа к приложению, кроме, может быть, команды, которая поддерживает приложение. Теперь, когда мне нужно обновить сертификат, мне интересно, следует ли мне также установить его в хранилище ключей tomcat, указанном в $TOMCAT_HOME/conf/server.xml.

        <Connector
           protocol="org.apache.coyote.http11.Http11NioProtocol"
           port="8443" maxThreads="200"
           scheme="https" secure="true" SSLEnabled="true"
           keystoreFile="/home/ec2-user/tomcat.keystore" keystorePass="password"
           clientAuth="false" sslProtocol="TLS"/>

Сейчас в этом файле нет импортированного сертификата для app1.company.com (поскольку он установлен на балансировщике нагрузки). Будет ли достаточно просто заменить новый сертификат в балансировщике нагрузки AWS и оставить хранилище ключей Tomcat как есть?

0 + 0

балансировки нагрузки

ssl-сертификат

амазон-веб-сервисы

хранилище ключей

Рейтинг:0

Server

Tim

18.05.2023, 07:27

Я предлагаю вам заблокировать прямой доступ к серверу, так как это черный ход на сервер и DDOS-атака. Я бы сделал это, поместив экземпляр Tomcat в частную подсеть. Если вы должны иметь его в общедоступной подсети, я бы позаботился о том, чтобы к нему могли добраться только несколько вещей — ALB (проще всего использовать диапазон VPC CIDR) и указанные IP-адреса. Если он частный, вы можете использовать AWS Session Manager для доступа к серверу из консоли AWS.

Ваш ALB может использовать ACM (менеджер сертификатов AWS), который выдает и продлевает сертификаты бесплатно. Единственная причина, по которой я могу подумать об использовании другого регистратора, - это если вам нужны расширенные сертификаты проверки или какая-то другая функция. Сертификаты ACM можно использовать только в балансировщиках нагрузки и в CloudFront, но не на вашем собственном сервере.

Вы можете поставить сертификат на экземпляр, но я не уверен, что стоит заморачиваться.

0 + 0

Rohini

19.05.2023, 05:38

Так что нет необходимости импортировать новый сертификат в хранилище ключей машины, верно? IP-адрес является частным и находится в пределах VPC, и мы используем ALB. ACM звучит как хороший вариант. проверю это

Ответить

Tim

19.05.2023, 07:43

Метод установки сертификата зависит от программного обеспечения. Я установил сертификаты на Nginx, и файлы просто помещаются в файловую систему и ссылаются на них. Я не знаю, как работает Tomcat.

Ответить

Admin

Этот вопрос на других языках:

EN: Does ssl certificate need to be installed with IP of tomcat

TH: จำเป็นต้องติดตั้งใบรับรอง ssl ด้วย IP ของ Tomcat หรือไม่

RO: Trebuie instalat certificatul ssl cu IP-ul tomcat

RU: Нужно ли устанавливать ssl-сертификат с IP-адресом tomcat

VI: Có cần cài đặt chứng chỉ ssl với IP của tomcat không

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.