需要適用於AWS Windows EC2實例的有效證書。 Amazon Certificate Manager是否提供EC2的證書？

Question

我在Windows EC2實例上運行Qualys掃描，它報告了一些漏洞。 其中之一是“ SSL證書-主題公用名與服務器FQDN不匹配”。

Qualys建議，對此的解決方案是“請安裝其主題commonName或subjectAltName與服務器FQDN匹配的服務器證書。”

現在的問題是未經第三方驗證的自簽名證書。 我如何獲得這種情況下的有效證書，以使Qualys不報告錯誤。 我調查了ACM，但我猜它不提供EC2的證書。

誰能提供有關該問題的見解？ 我在哪里獲得有效證書以及如何將其添加到實例。 我正在使用Cloudformation模板通過使用打包程序創建的自定義AMI創建instacne。 我提到這一點是因為知道添加證書的步驟是否需要添加到AMI創建階段會很有幫助。

Answer 1

不幸的是，您不能直接在EC2上直接使用由AWS Certificate Manager發布的證書 。

您可以在負載均衡器以及Cloudfront和API網關上使用它， 請參閱此 。

但是一種解決方法是，如果您只有一個EC2，則將其放在Classic LB后面，然后將ssl終止到LB，這樣當您嘗試在ec2上訪問內容時，它是通過HTTPS進行的。

謝謝

Answer 2

進行此類掃描的最簡單方法是，限制對實例的訪問，以便僅公開公共服務（例如HTTP或HTTPS），然后“強化”每個必需的公共服務的配置。 所有公共服務/端口都應僅限於您的IP地址。 這可能會解決掃描報告的許多問題。

RDP和許多其他服務（MSSQL，MSDeploy，POSH Remoting等）僅適用於管理員，對Qualys掃描（或漫游互聯網的黑客和漫游器等）不可見。

正如Kush上面建議的那樣，添加負載平衡器將使您可以將ACM證書用於Web流量，但同時也增加了Internet與實例之間的安全性。 這意味着您可以進一步將對實例的訪問權限限制為僅對VPC進行訪問-因為公共Web流量將通過VPC中的負載平衡器傳輸，不再直接訪問您的實例。

如果您通過不帶負載均衡器的HTTPS托管網站，則還需要編輯SChannel設置（Windows中負責SSL / TLS的組件）以通過掃描並為網站安裝有效證書。

您可以在以下注冊表中手動編輯SChannel： HKLM\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\

（需要重新啟動-在開始前拍攝快照；）

警告 -錯誤地配置SChannel可能會破壞RPD或限制Web瀏覽器可以訪問您的站點等。請仔細測試！

僅供參考，我發現使用稱為IIS Crypto的工具來配置SChannel（ https://www.nartac.com/Products/IISCrypto ）更加容易-它具有GUI和CLI界面，用於腳本化對SChannel的更改。 （盡管您仍然可以使用此工具破壞服務器！）

如果要使用CloudFormation使用ACM和負載平衡器，我建議您通過aws控制台注冊和批准證書，並記下證書的ARN。 在CloudFormation模板中創建負載平衡器時，可以使用此ARN。

注意：以上將解決您的掃描問題，但實際上並未解決。 可以對RDP使用您自己的證書（從未嘗試過），但遺憾的是，不能使用ACM證書。 您也可以查看類似LetsEncrypt的服務以獲得免費/基本證書。 避免此錯誤的另一種方法是，您可以從實例中導出自簽名證書，然后將其導入到計算機（或域？）的證書存儲中。