înregistrare Logare
Puncte:0
RustyShackleford avatar Server

Realizarea mTLS cu AWS ALB

drapel fm
RustyShackleford

Dacă am un ALB în infrastructura mea cu grupuri țintă ECS în aval, SSL/TLS va fi întotdeauna terminat la ALB?

Dacă da, sunt singurele mele opțiuni ELB/NLB pentru a păstra contextul SSL/TLS?

944
0 + 0
nlb
Puncte:1
Tim avatar Server
drapel gp
Tim

ALB termină întotdeauna https, dar poate crea o nouă sesiune https pe serverele dvs. țintă dacă le configurați cu certificate. informație Aici. Rețineți că nu puteți utiliza AWS Certificate Manager pentru servere, aveți nevoie de certificate terță parte.

Dacă doriți ca TLS să fie terminat pe serverele în sine, cea mai bună opțiune este să utilizați un NLB. În general, ELB nu sunt folosite în zilele noastre decât dacă aveți un motiv foarte bun, sunt de prima generație.

0 + 0
RustyShackleford avatar
drapel fm
RustyShackleford
O nouă sesiune mi-ar satisface cerințele. Cum creez o nouă sesiune https pentru grupul meu țintă?
0
Răspunde
Tim avatar
drapel gp
Tim
Răspunsul a fost editat. Vă configurați serverele cu certificate https și asigurați-vă că grupul țintă este setat să utilizeze https
0
Răspunde
RustyShackleford avatar
drapel fm
RustyShackleford
De ce nu poți folosi AWS cert manager?
0
Răspunde
RustyShackleford avatar
drapel fm
RustyShackleford
Se pare că certificatul nu este validat în ALB, deci nu ar fi la fel de sigur ca mTLS end to end. https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-target-groups.html#target-group-routing-configuration
0
Răspunde
Tim avatar
drapel gp
Tim
Nu-mi amintesc niciodată dacă certificatele autosemnate sunt ok, se pare că sunt. Nu puteți utiliza AWS Certificate Manager deoarece nu este posibil să exportați o cheie privată pe care să o puneți pe instanță.
0
Răspunde
RustyShackleford avatar
drapel fm
RustyShackleford
Serverul nu ar putea face doar `acm:exportcertificate` și ar returna fișierul exportat care conține certificatul, lanțul de certificate și cheia privată criptată. @Tim
0
Răspunde
RustyShackleford avatar
drapel fm
RustyShackleford
Se pare că puteți exporta cheia cert/ca/privată de la CA privat, nu public
0
Răspunde
Tim avatar
drapel gp
Tim
Exact, iar un CA privat costă aproximativ 600 USD pe lună din memorie. Pentru serverele mele personale folosesc certificate Let's Encrypt cu certbot. Din punct de vedere comercial, tind să folosesc certificate autosemnate, cu excepția cazului în care există un motiv bun pentru a folosi Let's Encrypt / comercial / altceva.
0
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.