SSL के साथ ELB की स्थापना - बैकेंड प्रमाणीकरण क्या है?

12

मैंने अपने सर्वर पूल के लिए अमेज़ॅन की इलास्टिक लोड बैलेंसिंग सेवा की स्थापना शुरू कर दी है और मुझे HTTPS / SSL सेटअप करने की आवश्यकता है। मेरे पास अपने सभी एसएसएल सर्टिफिकेट सेटअप हैं, लेकिन फिर मैं बैकएंड प्रमाणीकरण के लिए कदम पर आता हूं और "बैकेंड ऑथेंटिकेशन" के साथ क्या प्रमाण पत्र आवश्यक है, इसके बारे में अनिश्चित हूं।

क्या यह मेरी साइटों की निजी कुंजी, सार्वजनिक कुंजी है, या क्या मुझे सर्वर पर एक नई कुंजी उत्पन्न करने की आवश्यकता है?

सहायता के लिए आपका धन्यवाद।

amazon-ec2  ssl  amazon-web-services  amazon-elb 
whobutsb
स्रोत
"तो मैं बैकएंड प्रमाणीकरण के लिए कदम पर आता हूं और" बैकेंड ऑथेंटिकेशन "के साथ क्या प्रमाण पत्र आवश्यक है, मैं अनिश्चित हूं। क्या यह मेरी साइटों की निजी कुंजी, सार्वजनिक कुंजी है, या क्या मुझे सर्वर पर एक नई कुंजी उत्पन्न करने की आवश्यकता है?" <---- प्रश्न के इस भाग का उत्तर किसी के पास है? क्या यह एक और एसएसएल प्रमाणपत्र या कीपर है। सुरक्षा फ़ाइल बनाते समय वे आपको देते हैं?
हंटर लीचमैन

जवाबों:

13

पिछला उत्तर 100% सटीक नहीं है।

क्या बैक-एंड प्रमाणीकरण ACTUALLY करता है यह सुनिश्चित करता है कि आपके बैक सर्वर की सार्वजनिक रिपोर्ट (जब ELB HTTPS / SSL पर आपके सर्वर से बात कर रही है) आपके द्वारा प्रदान की गई सार्वजनिक कुंजी से मेल खाती है। यह किसी को आपके ईएलबी के लिए दुर्भावनापूर्ण सर्वर को संलग्न करने से रोकता है, या ईएलबी और आपके सर्वर के बीच ट्रैफ़िक को हाइजैक करने वाले किसी को कम करता है।

बैक-एंड प्रमाणीकरण यह ध्यान नहीं रखता है कि क्लाइंट (उदाहरण के लिए एक ब्राउज़र) HTTPS या SSL से अधिक आपके ELB पर संचार कर रहा है या नहीं। आप HTTPS / SSL से अधिक बैकेंड संचार के साथ अपने बैकेंड सर्वर पर संचार करते समय, HTTP पर क्लाइंट के लिए एक ELB संवाद कर सकते हैं। यह केवल ईएलबी और आपके सर्वर के बीच संचार सुनिश्चित करेगा, यदि क्लाइंट कनेक्शन सुरक्षित है तो नहीं।

संक्षेप में

जब तक आपका ELB HTTPS से अधिक आपके बैकेंड उदाहरण के लिए संचार कर रहा है, तब तक ट्रैफ़िक एन्क्रिप्ट किया जाता है, हालांकि इसे अपंग किया जा सकता है। बैक-एंड ऑथेंटिकेशन उस ट्रैफ़िक को हाइजैक होने से बचाने में मदद करता है।

आप बैक-एंड प्रमाणीकरण का उपयोग क्यों नहीं करेंगे?

प्रदर्शन। बैक-एंड प्रमाणीकरण सक्षम होने के साथ, हमने ELB के माध्यम से संचार करते समय प्रतिक्रिया समय में लगभग 50-70ms की वृद्धि देखी है (अन्य सभी HTTPS सक्षम है)।

विलियम किंग
स्रोत
1
हाय विलियम, स्पष्टीकरण के लिए धन्यवाद। लेकिन फैसला क्या करता है, क्या करता है या नहीं? क्या संभावना है कि एल्ब और उदाहरणों के बीच सांप्रदायिक समझौता हो जाता है? या एक दुर्भावनापूर्ण सर्वर भी एल्ब से जुड़ जाता है?
xor
एक ईएलबी के लिए एक दुर्भावनापूर्ण सर्वर को संलग्न करने में सक्षम होने के लिए, किसी को ईएलबी पंजीकरण विशेषाधिकारों के साथ कुछ एडब्ल्यूएस क्रेडेंशियल की आवश्यकता होगी। मैं कहूंगा कि वे क्रेडेंशियल आपके परिनियोजन सर्वर या स्वयं के पास हैं। यदि उन क्रेडेंशियल्स को लीक किया गया है, तो एक उच्च संभावना भी है कि हमलावर वैसे भी आपके बैकएंड से कनेक्ट हो सकता है (चूंकि आपकी तैनाती मशीनों को ऐप के संस्करणों को अपडेट करने की आवश्यकता है क्योंकि उनके पास संभवतः एसएसएच एक्सेस के कुछ प्रकार हैं) इसलिए https बैकएंड एन्क्रिप्शन संभवत: संभव नहीं होगा! अंतर चूंकि हमलावर सीधे बैकएंड से जुड़ सकता है।
सिरिल डचोन-डोरिस
यदि मान लें कि मैं AWS डिफ़ॉल्ट सुरक्षा नीति का उपयोग कर रहा हूं - ELBSecurityPolicy-2016-18। इसलिए बैक-एंड ऑर्डिनेशन पर किस सार्वजनिक कुंजी या निजी कुंजी का उपयोग किया जाएगा।
शंकर
4

बैक-एंड ऑथेंटिकेशन इंस्टेंसेस से / के लिए सभी ट्रैफिक सुनिश्चित करता है, लोड बैलेंसर और क्लाइंट को एन्क्रिप्ट किया जाएगा।

मुझे स्वयं इस सेटअप से थोड़ी परेशानी हो रही थी, हालाँकि कुछ खुदाई के बाद मुझे संबंधित भार मिला इलास्टिक लोड बैलेंसिंग डेवलपर गाइड के भीतर , SSL सिफर सेटिंग्स और बैक-एंड सर्वर प्रमाणीकरण के साथ एक लोड बैलेंसर बनाना देखें - विशेष रूप से, आप चाहते हो सकते हैं [एड] एडब्ल्यूएस मैनेजमेंट कंसोल का उपयोग करके इसे कैसे प्राप्त करें, यह पढ़ें , जो विभिन्न विषयों के लिए एक सहायक वॉकथ्रू और चित्रण प्रदान करता है।

वायुसेना-एट-काम
स्रोत
उत्तर के लिए धन्यवाद, मुझे खेद है कि मैं जल्द ही आपके पास वापस नहीं आया। इस पर अब पढ़ना!
व्हॉट्सबस
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.