需要适用于AWS Windows EC2实例的有效证书。 Amazon Certificate Manager是否提供EC2的证书？

Question

我在Windows EC2实例上运行Qualys扫描，它报告了一些漏洞。 其中之一是“ SSL证书-主题公用名与服务器FQDN不匹配”。

Qualys建议，对此的解决方案是“请安装其主题commonName或subjectAltName与服务器FQDN匹配的服务器证书。”

现在的问题是未经第三方验证的自签名证书。 我如何获得这种情况下的有效证书，以使Qualys不报告错误。 我调查了ACM，但我猜它不提供EC2的证书。

谁能提供有关该问题的见解？ 我在哪里获得有效证书以及如何将其添加到实例。 我正在使用Cloudformation模板通过使用打包程序创建的自定义AMI创建instacne。 我提到这一点是因为知道添加证书的步骤是否需要添加到AMI创建阶段会很有帮助。

Answer 1

不幸的是，您不能直接在EC2上直接使用由AWS Certificate Manager发布的证书 。

您可以在负载均衡器以及Cloudfront和API网关上使用它， 请参阅此 。

但是一种解决方法是，如果您只有一个EC2，则将其放在Classic LB后面，然后将ssl终止到LB，这样当您尝试在ec2上访问内容时，它是通过HTTPS进行的。

谢谢

Answer 2

进行此类扫描的最简单方法是，限制对实例的访问，以便仅公开公共服务（例如HTTP或HTTPS），然后“强化”每个必需的公共服务的配置。 所有公共服务/端口都应仅限于您的IP地址。 这可能会解决扫描报告的许多问题。

RDP和许多其他服务（MSSQL，MSDeploy，POSH Remoting等）仅适用于管理员，对Qualys扫描（或漫游互联网的黑客和漫游器等）不可见。

正如Kush上面建议的那样，添加负载平衡器将使您可以将ACM证书用于Web流量，但同时也增加了Internet与实例之间的安全性。 这意味着您可以进一步将对实例的访问权限限制为仅对VPC进行访问-因为公共Web流量将通过VPC中的负载平衡器传输，不再直接访问您的实例。

如果您通过不带负载均衡器的HTTPS托管网站，则还需要编辑SChannel设置（Windows中负责SSL / TLS的组件）以通过扫描并为网站安装有效证书。

您可以在以下注册表中手动编辑SChannel： HKLM\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\

（需要重新启动-在开始前拍摄快照；）

警告 -错误地配置SChannel可能会破坏RPD或限制Web浏览器可以访问您的站点等。请仔细测试！

仅供参考，我发现使用称为IIS Crypto的工具来配置SChannel（ https://www.nartac.com/Products/IISCrypto ）更加容易-它具有GUI和CLI界面，用于脚本化对SChannel的更改。 （尽管您仍然可以使用此工具破坏服务器！）

如果要使用CloudFormation使用ACM和负载平衡器，我建议您通过aws控制台注册和批准证书，并记下证书的ARN。 在CloudFormation模板中创建负载平衡器时，可以使用此ARN。

注意：以上将解决您的扫描问题，但实际上并未解决。 可以对RDP使用您自己的证书（从未尝试过），但遗憾的是，不能使用ACM证书。 您也可以查看类似LetsEncrypt的服务以获得免费/基本证书。 避免此错误的另一种方法是，您可以从实例中导出自签名证书，然后将其导入到计算机（或域？）的证书存储中。