服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 没有负载平衡器的EC2实例上的SSL
Intereting Posts
在其他节点上使用ssh -x -n终止父进程产生的所有进程 服务器黑客入侵垃圾邮件,X-Mailer中的BAT 比较对象给出了错误的差异 NPM无法安装Socket.io是否需要x-server? 具有多个作用域的Windows DHCP服务器 – 将被使用 sendmail vs smtp服务器 当php脚本需要操作文件时,我应该使用suPHP还是DSO(mod_PHP)? 删除Linux上的文件 Zabbix无法连接到PostgreSQL数据库 如何从脚本中检查内置的Windows 2003软件raid的完整性 如何在java服务器的ssl中禁用112位密码套件 如何在Windows 7上为Apache 2.2 webserver创buildredirect 如何获得安装在服务器上的Windows打印机驱动程序列表 章节:未能禁止IP“ 在Cent OS上安装postgres

没有负载平衡器的EC2实例上的SSL

我没有很多configurationSSL的经验,所以很有可能我错过了一些东西,但是如何在没有通过负载均衡器的情况下为EC2configurationSSL呢?

这是用于与第三方API进行通信的服务器,要求我们将我们的IP地址白名单,我们不能使用DNS。

我遵循这个指南https://www.digitalocean.com/community/tutorials/how-to-create-an-ssl-certificate-on-nginx-for-ubuntu-14-04但到目前为止,我的浏览器显示一个证书不同于我正在使用的那个。 也许它caching不知何故?

这是我正在尝试使用的那个 – 

-----BEGIN CERTIFICATE----- MIIDDzCCAfegAwIBAgIJAMkWNQsBzPFcMA0GCSqGSIb3DQEBCwUAMB4xHDAaBgNV BAMMEyouc3RnLmF1dG9icmFpbi5jb20wHhcNMTcxMTAzMDIwNzIzWhcNMjIxMTAy MDIwNzIzWjAeMRwwGgYDVQQDDBMqLnN0Zy5hdXRvYnJhaW4uY29tMIIBIjANBgkq hkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA15PhjQTHi6o+2TCAd/dUpZzR1C/ucRfk 8SGr+2Zf/t0L3nNWt01M0EiaDpzqelkTHErwOAyRVWOUAeL/kk2SPqxb1y+mGPUN TWvKb/UWpaXTuAHmrTngpQaSq8mxxGXlHH/GB664kNhhmQxoCCoBGN/CsDmCrvGw EWL8rYVPppwiI9yury+XT5GqDEslR2+cSLp9FuuMGrFwwffw4xSCGr8kBeEY4VIr 8gW8E4MBFE37R4e6MhcCTJ2XuNDR69ZuCLM3IC3tiEzf/HmABcoI0/SbeqT/8WJX 9vIu2uoDmLn+Ae+QWEN/hzX5ER3lgBquT4OifBD/9KVJ1rff4hk9FQIDAQABo1Aw TjAdBgNVHQ4EFgQUUoh2YRTx/ouZlYYCfdRCZycC6EUwHwYDVR0jBBgwFoAUUoh2 YRTx/ouZlYYCfdRCZycC6EUwDAYDVR0TBAUwAwEB/zANBgkqhkiG9w0BAQsFAAOC AQEAPSfIYBVVbueHgGLiFuBAWLdROA7a2P3SQsZcNsj1reSkPxJ0YB8g4fdyUNwp wws+SWSBZwkmriXE+NFuECV8uln1OgYcUOmmcT9YT0eNQih9lLq/UtYtq5aWYJR/ 0pwfGZ6kasHFOLdcN4SgKloqvJ4wJbt9FwpPpfVQSfh9RNEodMlDTAZQ+w2nXPHQ VygDrCEle6VVTEzfRiTGP6JB+E4RpDeW1ECpvp1WrNiwEgSbhW3Ek54AK/stQweQ QYE7OtiFEQtEQiqgu4gXfKjNawqwwu5sb22ot7LvgDgVudscXV40PzFAJzFEOvCr xJtJ0+JZ37VqFTLmJidH+Hz3Ng== -----END CERTIFICATE-----

您的描述不清楚涉及的各方是谁。 听起来这个证书是由第三方给你的吗? 您是否连接到他们的服务,或者您是否在托pipe他们正在连接的服务? 基于“用于与第三方API进行通信”,我假设他们正在托pipe服务,并且正在连接到它们。

好的,我们在这里有一些问题。 首先,这不是一个SSL服务器证书(没有私钥!),所以它不是你在负载平衡器或者(例如)nginx上安装的东西。 相反,这是一个CA证书,可以用来签署其他证书。 “私人”CA通常用于生成不需要第三方信任的“内部”证书。 我运行以下命令来查看cert(将其保存为“weird.cert”之后):

openssl x509 -in weird.cert -noout -text

在里面,我看到这是一个自签名的CA证书,certificate这些特定的领域:

Issuer: CN=*.stg.autobrain.com Subject: CN=*.stg.autobrain.com X509v3 extensions: X509v3 Basic Constraints: CA:TRUE

我可能在这里是错的,但它看起来像有人试图为* .stg.autobrain.com发出自己的自签名通配符证书,但偶然发出了一个完整的CA证书。 也许这个证书然后用来签署一个“真正的”通配证书,可能是用同样的名字?

无论如何,如果他们向公众提供服务,他们应该使用一个真正的CA来做,因为相信第三方CA会给你带来一些非常真实的安全风险,因为任何有权访问该CA的人私钥可以颁发基本上任何证书,任何信任该CA的系统都会信任由其生成的证书。

我的build议是推回第三方,让他们简单地获得由公共CA签署的SSL证书。 一旦完成,SSL将简单地工作,没有任何额外的大惊小怪。