如果负载均衡器具有有效的 CA 证书,我可以在 AWS 实例上使用自签名证书吗?

【问题标题】:Can I use a self-signed certificate on an AWS instance if the load balancer has a valid CA certificate?如果负载均衡器具有有效的 CA 证书,我可以在 AWS 实例上使用自签名证书吗?
【发布时间】:2020-09-24 21:50:40
【问题描述】:

我们正在使用 Cloudflare,它指向 EC2 实例前面的 AWS 负载均衡器。这里的目标是进行端到端加密,但我试图了解此设置的哪些部分实际上需要来自证书颁发机构的证书,以及我们是否可以在 Cloudflare 和 AWS 之间使用一整套免费证书。

  1. Cloudflare - 我们可以使用他们的免费通用 SSL 证书来保护从 Cloudflare 到负载均衡器的流量。

  2. AWS 负载均衡器 - 我们可以使用附加到负载均衡器的免费 AWS 证书。同样的证书cannot be installed on the EC2 instance

  3. EC2 实例 - 我们可以在这里使用自签名证书,还是需要继续从公认的权威机构购买证书?我的理解是,是的,只要负载均衡器具有来自 Amazon 的有效 CA 证书或其他权威。

Cloudflare 设置为 Full SSL mode,它不会验证原始证书并允许它进行自签名,但我认为这仅适用于我们案例中的负载均衡器。

【问题讨论】:

    标签: amazon-web-services ssl amazon-ec2 amazon-ecs cloudflare


    【解决方案1】:

    您可以在实例上使用任何您想要的 SSL,自签名或来自证书颁发机构。

    通过这样做,数据将在负载均衡器和 EC2 实例之间的传输过程中被加密。

    只有 AWS 服务需要 ACM 证书或从有效证书颁发机构上传的证书。

    如果您使用自签名证书,请确保您的服务器是私密的。

    【讨论】:

    • “确保您的服务器保密” - 请您解释一下您的意思吗?
    • 我的意思是,它们应该保留在私有子网中。
    • 目前我不知道私有子网。如果服务器不在私有子网中,与自签名证书相关的风险是什么?我的理解是,自签名证书与 CA 签名的证书一样安全,只是无法被其他方验证。
    • 好的,谢谢。如果我还没有设置私有子网,那么证书是否自签名在安全性上没有区别,对吧?
    • 不是来自 SSL,但是是的,因为它在公共空间中。只要确保您的安全组保持紧密:)
    猜你喜欢
    • 2018-09-08
    • 2018-12-28
    • 1970-01-01
    • 2013-09-16
    • 1970-01-01
    • 2021-08-23
    • 1970-01-01
    • 1970-01-01
    • 2014-01-04
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode