Tham gia Đăng nhập
Điểm:0
RustyShackleford avatar Server

Đạt được mTLS với AWS ALB

lá cờ fm
RustyShackleford

Nếu tôi có ALB trong cơ sở hạ tầng của mình với các nhóm mục tiêu ECS xuôi dòng, thì SSL/TLS có luôn bị chấm dứt tại ALB không?

Nếu vậy, các tùy chọn duy nhất của tôi là ELB/NLB để duy trì bối cảnh SSL/TLS phải không?

944
0 + 0
nlb
Điểm:1
Tim avatar Server
lá cờ gp
Tim

ALB luôn kết thúc https nhưng có thể tạo phiên https mới cho các máy chủ mục tiêu của bạn nếu bạn thiết lập chúng bằng chứng chỉ. Thông tin đây. Lưu ý rằng bạn không thể sử dụng AWS Certificate Manager cho máy chủ, bạn cần có chứng chỉ của bên thứ ba.

Nếu bạn muốn TLS bị chấm dứt trên chính máy chủ, tùy chọn tốt nhất của bạn là sử dụng NLB. ELB ngày nay thường không được sử dụng trừ khi bạn có lý do rất chính đáng, chúng là thế hệ đầu tiên.

0 + 0
RustyShackleford avatar
lá cờ fm
RustyShackleford
Một phiên mới sẽ đáp ứng yêu cầu của tôi. Làm cách nào để tạo phiên https mới cho nhóm mục tiêu của tôi?
0
Hồi đáp
Tim avatar
lá cờ gp
Tim
Đã chỉnh sửa câu trả lời. Bạn thiết lập máy chủ của mình bằng chứng chỉ https và đảm bảo rằng nhóm mục tiêu được đặt để sử dụng https
0
Hồi đáp
RustyShackleford avatar
lá cờ fm
RustyShackleford
Tại sao bạn không thể sử dụng trình quản lý chứng chỉ AWS?
0
Hồi đáp
RustyShackleford avatar
lá cờ fm
RustyShackleford
Có vẻ như chứng chỉ không được xác thực trong ALB, vì vậy nó sẽ không an toàn như mTLS từ đầu đến cuối. https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-target-groups.html#target-group-routing-configuration
0
Hồi đáp
Tim avatar
lá cờ gp
Tim
Tôi không bao giờ có thể nhớ liệu các chứng chỉ tự ký có ổn không, có vẻ như chúng vẫn ổn. Bạn không thể sử dụng AWS Certificate Manager vì không thể xuất khóa riêng tư để đưa vào phiên bản của bạn.
0
Hồi đáp
RustyShackleford avatar
lá cờ fm
RustyShackleford
Máy chủ không thể thực hiện `acm:exportcertificate` và điều đó sẽ trả về tệp đã xuất có chứa chứng chỉ, chuỗi chứng chỉ và khóa riêng được mã hóa. @Tim
0
Hồi đáp
RustyShackleford avatar
lá cờ fm
RustyShackleford
Có vẻ như bạn có thể xuất khóa chứng chỉ/ca/riêng từ CA riêng, không công khai
0
Hồi đáp
Tim avatar
lá cờ gp
Tim
Chính xác, và một CA riêng có giá khoảng 600 đô la mỗi tháng từ bộ nhớ. Đối với các máy chủ cá nhân của mình, tôi sử dụng chứng chỉ Let's Encrypt với certbot. Về mặt thương mại, tôi có xu hướng sử dụng các chứng chỉ tự ký trừ khi có lý do chính đáng để sử dụng Let's Encrypt/thương mại/thứ gì khác.
0
Hồi đáp
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.