Thiết lập ELB với SSL - Xác thực cuối cùng là gì?


12

Tôi đã bắt đầu thiết lập Dịch vụ cân bằng tải đàn hồi của Amazon cho nhóm máy chủ của mình và tôi cần thiết lập HTTPS / SSL. Tôi có tất cả cài đặt Chứng chỉ SSL của mình, nhưng sau đó tôi đến bước xác thực phụ trợ và tôi không chắc chắn chứng chỉ nào được yêu cầu với "Xác thực phụ trợ".

Đây có phải là khóa riêng của tôi, khóa chung hay tôi cần tạo khóa mới trên máy chủ không?

Cảm ơn sự trợ giúp của bạn.


"sau đó tôi đến bước xác thực phụ trợ và tôi không chắc chắn chứng chỉ nào được yêu cầu với" Xác thực cuối cùng ". Đây có phải là khóa riêng của trang web của tôi, khóa công khai hay tôi cần tạo khóa mới trên máy chủ?" <---- Bất cứ ai cũng có câu trả lời cho phần này của câu hỏi? Đây có phải là chứng chỉ SSL khác hoặc tệp .pem khóa mà họ cung cấp cho bạn khi tạo nhóm bảo mật không?
Hunter Leachman

Câu trả lời:


13

Câu trả lời trước không chính xác 100%.

Xác thực back-end THỰC SỰ làm gì là đảm bảo rằng khóa công khai máy chủ phụ trợ của bạn báo cáo (khi ELB đang nói chuyện với máy chủ của bạn qua HTTPS / SSL) khớp với khóa chung bạn cung cấp. Điều này sẽ ngăn ai đó gắn máy chủ độc hại vào ELB của bạn hoặc giảm thiểu ai đó chiếm quyền điều khiển lưu lượng giữa ELB và máy chủ của bạn.

Xác thực back-end KHÔNG tính đến việc máy khách (ví dụ trình duyệt) có liên lạc với ELB của bạn qua HTTPS / SSL hay không. Bạn có thể yêu cầu ELB liên lạc với khách hàng qua HTTP, trong khi giao tiếp với các máy chủ phụ trợ của bạn qua HTTPS / SSL bằng giao tiếp phụ trợ. Điều này chỉ đảm bảo liên lạc giữa ELB và máy chủ của bạn được an toàn, KHÔNG nếu kết nối máy khách được an toàn.

Tóm tắt

Miễn là ELB của bạn đang liên lạc với phiên bản phụ trợ của bạn qua HTTPS, lưu lượng đó được mã hóa, mặc dù nó có thể bị tấn công. Xác thực back-end giúp ngăn chặn lưu lượng truy cập bị tấn công.

Tại sao bạn không sử dụng xác thực back-end?

Hiệu suất. Khi bật xác thực back-end, chúng tôi đã thấy thời gian phản hồi tăng khoảng 50-70ms khi giao tiếp qua ELB (với tất cả các HTTPS khác được bật).


1
Xin chào William, cảm ơn đã giải thích. Nhưng bản án là gì, làm hay không? Các cơ hội mà hoa hồng giữa khuỷu tay và trường hợp bị xâm phạm là gì? Hoặc thậm chí một máy chủ độc hại được gắn vào khuỷu tay?
xor

Để có thể đính kèm máy chủ độc hại vào ELB, người ta sẽ cần một số thông tin AWS với đặc quyền đăng ký ELB. Tôi muốn nói rằng những thông tin đó được giữ bởi các máy chủ triển khai của bạn hoặc của chính bạn. Nếu những thông tin đó bị rò rỉ, thì cũng có khả năng cao kẻ tấn công có thể kết nối với phụ trợ của bạn (vì máy triển khai của bạn cần cập nhật các phiên bản ứng dụng mà rất có thể họ có quyền truy cập SSH) nên việc mã hóa https phụ trợ có thể sẽ không tạo ra sự khác biệt vì kẻ tấn công có thể kết nối trực tiếp với các phụ trợ.
Cyril Duchon-Doris

Nếu giả sử tôi đang sử dụng chính sách bảo mật mặc định AWS - ELBSecurityPolicy-2016-18. Vì vậy, khóa công khai hoặc khóa riêng nào sẽ được sử dụng cho quyền tác giả phụ trợ.
Shankar

4

Xác thực back-end đảm bảo tất cả lưu lượng đến / từ các phiên bản, bộ cân bằng tải và máy khách sẽ được mã hóa.

Bản thân tôi đã gặp một số rắc rối với thiết lập này, tuy nhiên sau khi đào bới, tôi đã tìm thấy phần tương ứng trong Hướng dẫn dành cho nhà phát triển Cân bằng tải đàn hồi , xem phần Tạo cân bằng tải với Cài đặt mật mã SSL và Xác thực máy chủ Back-end - cụ thể, bạn có thể muốn đọc cách đạt được điều này bằng cách sử dụng [Bảng điều khiển quản lý AWS , cung cấp hướng dẫn và minh họa hữu ích cho các chủ đề khác nhau có liên quan.


Cảm ơn bạn đã trả lời, tôi xin lỗi tôi đã không quay lại với bạn sớm hơn. Đọc qua đây ngay bây giờ!
whobutsb
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.