У меня есть некоторые опасения по поводу безопасности, и мне интересно, как AWS будет хранить сертификат SSL, развернутый в ELB. У меня есть SSL-сертификат с подстановочными знаками для моего домена, и я хочу убедиться, что он не сохраняется нигде, где я не знаю, какие шаги были предприняты для его защиты.
Я пытаюсь настроить действительно простой сервер изображений на AWS, который обслуживает HTTPS. Я создал сервер nginx на T2-micro, который проксируется в корзину S3 с моими изображениями и помещает их за ELB. Где в конечном итоге сохраняется этот сертификат, если я помещаю его в ELB?
В качестве примечания: действительно ли AWS поддерживает разгрузку SSL для экземпляра, на который указывает ELB? Я нашел подсказки, что это возможно в некоторой документации, но не смог найти ничего, кроме этой подсказки.
Где в конечном итоге сохраняется этот сертификат, если я помещаю его в ELB?
Сертификаты хранятся в IAM.
Они должны быть такими же безопасными, как и учетные данные вашей учетной записи, поэтому мне кажется, что это неуместно, если у вас есть эта информация.
Экземпляры ELB получают сертификат, цепочку и закрытый ключ из IAM при каждом запуске или масштабировании.
Заметьте, конечно, что защита вашего «сертификата» - глупая идея. Ваш сертификат и цепочка общедоступны. Они покорно передаются любому веб-браузеру, который устанавливает соединение. Вот как работает SSL. Часть, которую необходимо защитить, - это, конечно, закрытый ключ. Без этого вашим сертификатом нельзя злоупотреблять.
И IAM обеспечивает это. Настолько, что даже вы не можете вернуть его, когда храните его.
Если вы по какой-то причине решили, что хотите получить свой сертификат и его закрытый ключ из IAM ... ну, вы не сможете.
Вы можете перечислить их, перезаписать и удалить из базы данных IAM, но даже владелец учетной записи не сможет их восстановить. Они в безопасности.
Возможно, в ваших экземплярах сопутствующий закрытый ключ будет менее безопасным ... но ...
Вы можете позволить ELB балансировать TCP-соединения с экземплярами, которые обрабатывают SSL для себя, просто настроив прослушиватель ELB в режиме TCP, а не HTTP.
Конечно, это увеличивает нагрузку на ваши экземпляры, и это не называется «разгрузкой» - используется обратная терминология - эта конфигурация будет «не разгрузкой». Разгрузка будет обычным режимом - ELB в режиме SSL выполняет разгрузку SSL для экземпляр - обработка SSL вместо того сами экземпляры обрабатывают свой собственный SSL.