我正在Windows EC2实例上运行Qualys扫描,它报告了一些漏洞。其中之一是"SSL 证书 - 使用者公用名与服务器 FQDN 不匹配"。
正如 Qualys 所建议的那样,解决方案是"请安装其主题公用名或使用者 AltName 与服务器 FQDN 匹配的服务器证书"。
现在的问题是未经第三方验证的自签名证书。 如何获取此方案的有效证书,以便 Qualys 不报告错误。 我研究了 ACM,但我想它不提供 EC2 的证书。
任何人都可以提供有关如何做到这一点的见解吗? 从何处获取有效证书以及如何将其添加到实例。 我正在使用云形成模板使用使用打包程序创建的自定义 AMI 创建 instacne。我之所以提到这一点,是因为了解是否需要将添加证书的步骤添加到 AMI 创建阶段会很有帮助。
很遗憾,您无法直接在 EC2 上使用 AWS 证书管理器颁发的证书。
您可以在负载均衡器和云前端和 API 网关上使用它,请参阅此内容。
但解决方法是,如果您有单个 EC2 将其放在经典 LB 后面并终止 SSL 到 LB,以便当您尝试在 ec2 上访问您的内容时,它是通过 HTTPS 访问的。
谢谢
通过此类扫描的最简单方法是限制对实例的访问,以便仅公开公共服务(如 HTTP 或 HTTPS),然后"强化"每个所需公共服务的配置。所有非公共服务/端口都应仅限于您的 IP 地址 (/es)。 这可能会解决扫描报告的许多问题。
RDP和许多其他服务(MSSQL,MSDeploy,POSH Remoting仅举几例)仅适用于管理员,并且不应该对Qualys扫描(或在互联网上漫游的黑客和机器人......)可见。
正如 Kush 上面建议的那样,添加负载均衡器将允许您将 ACM 证书用于 Web 流量,但它也在互联网和您的实例之间增加了额外的安全层。这意味着您可以进一步将对实例的访问限制为仅访问您的 VPC - 因为公有 Web 流量将通过 VPC 中的负载平衡器,而不是直接流向您的实例。
如果您在没有负载均衡器的情况下通过HTTPS托管网站,则还需要编辑SChannel设置(负责Windows中SSL/TLS的组件)以通过扫描以及为网站安装有效证书。
您可以在此处的注册表中手动编辑 SChannel:HKLMSYSTEMCurrentControlSetControlSecurityProvidersSCHANNEL
(需要重新启动 - 在开始之前拍摄快照;)
警告- 错误配置 SChannel 可能会破坏 RPD 或限制哪些 Web 浏览器可以访问您的网站等。 仔细测试!
仅供参考,我发现使用名为 IIS Crypto 的工具来配置 SChannel (https://www.nartac.com/Products/IISCrypto) 更容易 - 它有一个 GUI 和一个 CLI 界面,用于编写对 SChannel 的更改脚本。(不过,您仍然可以使用此工具破坏服务器!
如果您想将 ACM 和负载均衡器与 CloudFormation 结合使用,我建议您通过 aws 控制台注册和批准证书,并记下证书的 ARN。在 CloudFormation 模板中创建负载均衡器时,可以使用此 ARN。
注意:上述内容将解决扫描中的问题,但实际上不会修复它。可以将您自己的证书用于 RDP(从未尝试过),但遗憾的是不能使用 ACM 证书。您还可以查看像LetsEncrypt这样的服务来获取免费/基本证书。避免此错误的另一种选择是,您可以从实例中导出自签名证书并将其导入计算机(或域?的证书存储。