我对安全性有些担忧,想知道 AWS 将如何存储部署到 ELB 的 SSL 证书。我有一个用于我的域的通配符 SSL 证书,我想确保它不会保留在任何我不知道采取了哪些步骤来保护它的地方。
我正在尝试在 AWS 上设置一个非常简单的图像服务器,该服务器通过 HTTPS 提供服务。我所做的是在 T2-micro 上创建一个 nginx 服务器,该服务器代理包含我的图像的 S3 存储桶,并将其放在 ELB 后面。如果我将该证书放在 ELB 上,它最终会保留在哪里?
附注:AWS 是否真的支持将 SSL 卸载到 ELB 指向的实例?我在一些文档中发现了这种可能性,但除了这个提示之外,我找不到任何其他信息。
答案1
如果我把证书放在 ELB 上,它最终会保存在哪里?
证书存储在 IAM 中。
它们应该和您的帐户凭据一样安全,所以一旦您获得这些信息,对我来说,这似乎是一个不必要的担心。
ELB 实例在启动或扩展时都会从 IAM 获取证书、链和私钥。
当然,请注意,保护您的“证书”是一个愚蠢的概念。您的证书和证书链都是公开的。它们会被尽职尽责地交给建立连接的每个 Web 浏览器。这就是 SSL 的工作原理。需要保护的部分当然是私钥。没有它,您的证书就不会被滥用。
IAM 可以确保这一点。一旦存储,您就无法将其恢复。
如果您出于某种原因决定要从 IAM 获取您的证书及其私钥……那么您不能。
您可以列出它们、覆盖它们,以及从 IAM 数据库中删除它们,但账户所有者也无法检索它们。它们是安全的。
可以说,在您的实例中,随附的私钥不太安全......但是......
您可以让 ELB 平衡与自行处理 SSL 的实例的 TCP 连接,只需以 TCP 模式(而非 HTTP)配置 ELB 侦听器即可。
当然,这会给您的实例带来更多工作,而且这不称为“卸载”——术语是相反的——此配置将是“不卸载”。卸载将是正常模式——SSL 模式下的 ELB 正在进行 SSL 卸载为了实例--处理SSL代替实例本身处理自己的 SSL。