Tham gia Đăng nhập
Điểm:0
Rohini avatar Server

Có cần cài đặt chứng chỉ ssl với IP của tomcat không

lá cờ gr
Rohini

Tôi đã cài đặt chứng chỉ ssl trên bộ cân bằng tải AWS (app1.company.com) và một phiên bản với Tomcat nằm sau LB.

nếu tôi mở https://app1.company.com:8443/ Tôi có thể thấy kết nối là khóa an toàn/hợp lệ trên thanh url. Nếu mở bằng IP riêng của Tomcat thì thấy dấu hiệu kết nối không an toàn.

Tôi biết rằng các chứng chỉ thường chỉ liên kết với miền (hoặc chỉ được cho là như vậy). Và không ai sẽ sử dụng IP để truy cập ứng dụng ngoại trừ có thể là nhóm duy trì ứng dụng. Bây giờ tôi cần gia hạn chứng chỉ, tôi tự hỏi liệu tôi có nên cài đặt nó trên kho khóa tomcat được chỉ định trong $TOMCAT_HOME/conf/server.xml

        <Connector
           protocol="org.apache.coyote.http11.Http11NioProtocol"
           port="8443" maxThreads="200"
           scheme="https" secure="true" SSLEnabled="true"
           keystoreFile="/home/ec2-user/tomcat.keystore" keystorePass="password"
           clientAuth="false" sslProtocol="TLS"/>

Hiện tại, tệp này không có chứng chỉ đã nhập cho app1.company.com (vì chứng chỉ đó được cài đặt trên bộ cân bằng tải) Nếu chỉ cần thay thế chứng chỉ mới trong bộ cân bằng tải AWS và để nguyên kho khóa Tomcat thì có đủ không?

48
0 + 0
Điểm:0
Tim avatar Server
lá cờ gp
Tim

Tôi khuyên bạn nên chặn quyền truy cập trực tiếp vào máy chủ vì đó là cửa sau vào máy chủ và một cuộc tấn công DDOS. Tôi sẽ làm điều này bằng cách đặt cá thể Tomcat vào một mạng con riêng. Nếu bạn phải có nó trong một mạng con công khai, tôi đảm bảo rằng chỉ một số thứ có thể tiếp cận nó - ALB (sử dụng phạm vi VPC CIDR là dễ nhất) và các IP được chỉ định. Nếu là riêng tư, bạn có thể sử dụng AWS Session Manager để truy cập máy chủ từ bảng điều khiển AWS.

ALB của bạn có thể sử dụng ACM (Trình quản lý chứng chỉ AWS) phát hành và gia hạn chứng chỉ miễn phí. Lý do duy nhất tôi có thể nghĩ để sử dụng một công ty đăng ký khác là nếu bạn cần chứng chỉ xác thực mở rộng hoặc một số tính năng khác. Chứng chỉ ACM chỉ có thể được sử dụng trên bộ cân bằng tải và trong CloudFront, không phải trên máy chủ của riêng bạn.

Bạn có thể đặt chứng chỉ vào phiên bản, nhưng tôi không chắc nó đáng bận tâm.

0 + 0
Rohini avatar
lá cờ gr
Rohini
Vì vậy, không cần thiết phải nhập chứng chỉ mới vào kho khóa của máy phải không? IP là riêng tư và trong VPC và chúng tôi đang sử dụng ALB. ACM nghe có vẻ là một lựa chọn tốt. Sẽ kiểm tra nó
0
Hồi đáp
Tim avatar
lá cờ gp
Tim
Phương pháp cài đặt chứng chỉ khác nhau giữa các phần mềm. Tôi đã cài đặt chứng chỉ trên Nginx và các tệp chỉ được đưa vào hệ thống tệp và được tham chiếu. Tôi không biết Tomcat hoạt động như thế nào.
0
Hồi đáp
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.