我对安全性有一些担忧,想知道AWS将如何存储部署到ELB的SSL证书。 我有一个通配的SSL证书,用于我的域名,我想确保它不会在任何我不知道采取措施来保护它的地方持续存在。
我正在尝试在AWS上设置一个非常简单的映像服务器,它通过HTTPS提供服务。 我所做的就是在T2-micro上创build一个nginx服务器,它代表一个带有我的镜像的S3存储桶,放在ELB后面。 如果我把这个证书放在ELB上,那么证书最终会持续到哪里呢?
作为一个旁注,AWS实际上是否支持SSL卸载到ELB指向的实例? 我发现这个提示在一些文档中是可能的,但是找不到任何提示。
如果我把这个证书放在ELB上,那么证书最终会持续到哪里呢?
证书存储在IAM中。
他们应该和你的账户certificate一样安全,所以一旦你有了这些信息,这似乎是一个错误的关注。
ELB实例在启动或扩展时从IAM获取证书,链和私钥。
请注意,确保您的“证书”是一个愚蠢的概念。 您的证书和连锁店是公开的。 他们忠实地交给永远可以连接的networking浏览器。 这就是SSL的工作原理。 需要保护的部分当然是私钥。 没有这个,你的证书不能被滥用。
IAM保证了这一点。 如此之多,即使你存储了它,也不会收回。
如果你决定,无论出于何种原因,你想从IAM取得你的证书和私钥……呃,你不能。
您可以列出它们,覆盖它们,并将它们从IAM数据库中删除,但即使帐户所有者也不能检索。 他们是安全的。
可以说,在你的情况下,随附的私钥将不太安全……但是…
您可以让ELB通过在TCP模式下简单configurationELB侦听器而不是HTTP来平衡TCP连接到正在为自己处理SSL的实例。
当然这会让你的实例做更多的工作,而不是称为“卸载” – 术语是颠倒的 – 这种configuration将是“不卸载”。 卸载将是正常模式 – SSL模式下的ELB正在为实例进行SSL卸载 – 处理SSL 而不是实例本身,处理自己的SSL。