înregistrare Logare
Puncte:0
Rohini avatar Server

Trebuie instalat certificatul ssl cu IP-ul tomcat

drapel gr
Rohini

Am un certificat ssl instalat pe un echilibrator de încărcare AWS (app1.company.com) și o instanță cu Tomcat se află în spatele LB.

Dacă deschid https://app1.company.com:8443/ Văd că conexiunea este securizată/blocat valid pe bara de adrese URL. Dacă deschid cu IP privat al Tomcat, văd că conexiunea nu este un semn sigur.

Sunt conștient, de obicei, certificatele se leagă doar de domeniu (sau trebuie doar să se leagă). Și nimeni nu va folosi IP-ul pentru a ajunge la aplicație, cu excepția poate echipei care întreține aplicația. Acum că trebuie să reînnoiesc certificatul, mă întreb dacă ar trebui să-l instalez și în magazinul de chei tomcat, care este specificat în $TOMCAT_HOME/conf/server.xml

        <Connector
           protocol="org.apache.coyote.http11.Http11NioProtocol"
           port="8443" maxThreads="200"
           scheme="https" secure="true" SSLEnabled="true"
           keystoreFile="/home/ec2-user/tomcat.keystore" keystorePass="password"
           clientAuth="false" sslProtocol="TLS"/>

În acest moment, acest fișier nu are certificatul importat pentru app1.company.com (deoarece acesta este instalat pe echilibrul de încărcare) Ar fi suficient să înlocuim pur și simplu noul certificat în load balancer AWS și să lăsați depozitul de chei Tomcat așa cum este?

48
0 + 0
Puncte:0
Tim avatar Server
drapel gp
Tim

Vă sugerez să blocați accesul direct la server, deoarece aceasta este o ușă din spate către server și un atac DDOS. Aș face acest lucru punând instanța Tomcat într-o subrețea privată. Dacă trebuie să îl aveți într-o subrețea publică, m-aș asigura că doar câteva lucruri pot ajunge la el - ALB (folosirea intervalului VPC CIDR este cea mai ușoară) și IP-urile specificate. Dacă este privat, puteți utiliza AWS Session Manager pentru a accesa serverul din consola AWS.

ALB poate utiliza ACM (AWS Certificate Manager) care emite și reînnoiește certificatele gratuit. Singurul motiv pentru care mă gândesc să folosesc un alt registrator este dacă aveți nevoie de certificate de validare extinse sau de altă caracteristică. Certificatele ACM pot fi utilizate numai pe echilibrarea încărcăturii și în CloudFront, nu pe propriul dvs. server.

Ai putea pune un certificat pe instanță, dar nu sunt sigur că merită deranjarea.

0 + 0
Rohini avatar
drapel gr
Rohini
Deci nu este necesar să importați noul certificat în depozitul de chei al mașinii, nu? IP-ul este privat și într-un VPC și folosim ALB. ACM sună ca o opțiune bună. O să-l verifice
0
Răspunde
Tim avatar
drapel gp
Tim
Metoda de instalare a unui certificat variază între software. Am instalat certificate pe Nginx și fișierele sunt doar introduse în sistemul de fișiere și referite. Nu știu cum funcționează Tomcat.
0
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.