Регистрация Войти
Рейтинг:0
RustyShackleford avatar Server

Достижение mTLS с помощью AWS ALB

флаг fm
RustyShackleford

Если в моей инфраструктуре есть ALB с нисходящими целевыми группами ECS, будет ли SSL/TLS всегда завершаться на ALB?

Если да, то есть ли у меня единственные варианты ELB/NLB для сохранения контекста SSL/TLS?

944
0 + 0
nlb
Рейтинг:1
Tim avatar Server
флаг gp
Tim

ALB всегда завершает https, но может создать новый сеанс https для ваших целевых серверов, если вы настроите их с помощью сертификатов. Информация здесь. Обратите внимание, что вы не можете использовать AWS Certificate Manager для серверов, вам нужны сторонние сертификаты.

Если вы хотите, чтобы TLS отключался на самих серверах, лучше всего использовать NLB. ELB обычно не используются в наши дни, если у вас нет очень веской причины, они первого поколения.

0 + 0
RustyShackleford avatar
флаг fm
RustyShackleford
Новая сессия удовлетворит мои требования. Как мне создать новую сессию https для моей целевой группы?
0
Ответить
Tim avatar
флаг gp
Tim
Ответ отредактирован. Вы настраиваете свои серверы с сертификатами https и убедитесь, что целевая группа настроена на использование https
0
Ответить
RustyShackleford avatar
флаг fm
RustyShackleford
Почему вы не можете использовать менеджер сертификатов AWS?
0
Ответить
RustyShackleford avatar
флаг fm
RustyShackleford
Похоже, что сертификат не проверяется в ALB, поэтому он не будет таким безопасным, как сквозной mTLS. https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-target-groups.html#target-group-routing-configuration
0
Ответить
Tim avatar
флаг gp
Tim
Я никогда не могу вспомнить, в порядке ли самоподписанные сертификаты, похоже, что они есть. Вы не можете использовать AWS Certificate Manager, потому что невозможно экспортировать закрытый ключ для установки в вашем экземпляре.
0
Ответить
RustyShackleford avatar
флаг fm
RustyShackleford
Разве сервер не мог просто выполнить `acm:exportcertificate` и вернуть экспортированный файл, содержащий сертификат, цепочку сертификатов и зашифрованный закрытый ключ. @Тим
0
Ответить
RustyShackleford avatar
флаг fm
RustyShackleford
Похоже, вы можете экспортировать cert/ca/private key из частного центра сертификации, а не из публичного.
0
Ответить
Tim avatar
флаг gp
Tim
Именно так, а частный ЦС стоит около 600 долларов в месяц с памяти. Для своих личных серверов я использую сертификаты Let's Encrypt с certbot. В коммерческих целях я склонен использовать самоподписанные сертификаты, если только нет веской причины использовать Let's Encrypt/коммерческий/что-то еще.
0
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.