我在AWS负载均衡器(app1.company.com
)上安装了ssl证书,其中一个带有Tomcat的实例位于LB后面。
如果我打开https://app1.company.com:8443/,我可以在url栏上看到连接是安全/有效的锁。如果我打开Tomcat的私有IP,我看到连接不是安全标志。
我知道证书通常只绑定到域(或者应该绑定到域)。除了维护应用程序的团队之外,没有人会使用IP来访问应用程序。既然我需要更新证书,我想知道是否也应该将它安装在tomcat密钥存储库上,它在$TOMCAT_HOME/conf/server.xml中指定。
<Connector
protocol="org.apache.coyote.http11.Http11NioProtocol"
port="8443" maxThreads="200"
scheme="https" secure="true" SSLEnabled="true"
keystoreFile="/home/ec2-user/tomcat.keystore" keystorePass="password"
clientAuth="false" sslProtocol="TLS"/>
现在,这个文件没有导入的app1.company.com证书(因为它安装在负载均衡器上),如果只需简单地替换AWS负载均衡器中的新证书,并保持Tomcat的原样就足够了吗?
发布于 2022-01-18 07:27:50
我建议您阻止对服务器的直接访问,因为这是进入服务器的后门和DDOS攻击。我会通过将Tomcat实例放入一个私有子网来做到这一点。如果您必须将它放在公共子网中,我将确保只有少数东西能够到达它- ALB (使用VPC CIDR范围最简单)和指定的in。如果是私有的,可以使用AWS会话管理器从AWS控制台访问服务器。
您的ALB可以使用ACM (AWS证书管理器)免费颁发和更新证书。我认为使用另一个注册程序的唯一原因是如果您需要扩展的验证证书或其他特性。ACM证书只能在负载平衡器和CloudFront中使用,而不能在您自己的服务器上使用。
您可以在实例上添加一个证书,但我不确定这是否值得。
https://serverfault.com/questions/1090316
复制相似问题