没有负载均衡器的EC2实例上的SSL
我没有很多为站点配置SSL的经验,所以我很可能遗漏了一些东西,但是如何在不经过负载均衡器的情况下为EC2配置SSL呢?
这是一个用于与第三方API通信的服务器,它要求我们白名单我们的IP地址,我们不能使用DNS。
我遵循了这个指南https://www.digitalocean.com/community/tutorials/how-to-create-an-ssl-certificate-on-nginx-for-ubuntu-14-04,但到目前为止,我的浏览器显示的证书与我使用的证书不同。也许是以某种方式被缓存的?
这是我想用的-
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----回答 1
Server Fault用户
发布于 2017-11-07 20:08:12
你对当事人的描述并不清楚。听起来是第三方给你的证书吗?您是连接到他们的服务,还是承载他们正在连接的服务?基于“用于与第三方API通信”,我假设它们承载了该服务,而您正在连接到它们。
好吧,我们这里有一些问题。首先,这不是SSL服务器证书(没有私钥!),所以您不会在负载均衡器上安装或安装到(例如) nginx中。相反,它是一个CA证书,可以用来对其他证书进行签名。“私有”CA通常用于生成不需要第三方信任的‘内部’证书。我运行了以下命令来查看证书(在将它保存为‘weird.cert’之后):
openssl x509 -in weird.cert -noout -text
在内部,我看到这是一个自签名的CA证书,由以下特定字段证明:
Issuer: CN=*.stg.autobrain.com Subject: CN=*.stg.autobrain.com X509v3 extensions: X509v3 Basic Constraints: CA:TRUE
我可能错了,但似乎有人试图为*.stg.autobrain.com颁发自己的自签名通配符证书,但却被绊倒,反而颁发了完整的CA证书。也许这个证书被用来签署一个“真正的”通配符证书,可能有相同的名字?
在任何情况下,如果他们向公众提供服务,他们应该使用真正的CA来做到这一点,就像信任第三方CA会给您带来一些非常真实的安全风险,因为访问该CA私钥的任何人基本上都可以为任何事情颁发证书,任何信任CA会信任它生成的任何证书的系统。
我的建议是回击这个第三方,让他们简单地获得一个由公共CA签署的SSL证书。一旦完成,SSL将简单地工作,没有任何额外的小题大做。
https://serverfault.com/questions/882087
复制相似问题
腾讯云开发者
