我正在Windows EC2实例上运行Qualys扫描并报告一些漏洞。其中一个是" SSL证书 - 主题通用名称与服务器FQDN不匹配"。
Qualys建议的解决方法是,#34;请安装其Subject SubjectName或subjectAltName与服务器FQDN匹配的服务器证书。"
现在问题是未经第三方验证的自签名证书。 如何获得此方案的有效证书,以便Qualys不报告错误。 我查看了ACM,但我猜它不会为EC2提供证书。
任何人都可以提供有关如何解决这个问题的见解吗? 我从哪里获得有效证书以及如何将其添加到实例中。 我正在使用Cloudformation模板使用使用packer创建的Custom AMI创建instacne。我之所以提到这一点是因为知道添加证书的步骤是否需要添加到AMI创建阶段会很有帮助。
答案 0 :(得分:1)
遗憾的是,您无法直接在EC2上直接使用AWS Certificate Manager颁发的证书。
您可以在Load Balancer和Cloudfront以及API网关上使用它Refer this。
但是一个解决方法是,如果你有单个EC2将它放在经典LB后面并将ssl终止到LB,这样当你尝试在ec2上访问你的内容时,它就是通过HTTPS。
由于
答案 1 :(得分:0)
像这样传递扫描的最简单方法是限制对您的实例的访问,以便您只暴露公共服务(如HTTP或HTTPS),然后“强化”每个所需公共服务的配置。所有无公共服务/端口都应仅限于您的IP地址(/ es)。这可能会解决扫描报告的一些问题。
RDP和许多其他服务(MSSQL,MSDeploy,POSH Remoting等等)仅供管理员使用,不应该对Qualys扫描(或漫游互联网的黑客和机器人......)可见。
正如Kush上面所说,添加负载均衡器可以让您将ACM证书用于网络流量,但它也会在互联网和您的实例之间增加一层安全性。这意味着您可以进一步限制对您的实例的访问仅限于您的VPC - 因为公共网络流量将通过您的VPC中的加载balencer进行,而不是直接进入您的实例。
如果您通过HTTPS托管网站而没有负载均衡器,则还需要编辑SChannel设置(Windows中负责SSL / TLS的组件)以传递扫描以及为网站安装有效证书。
您可以在注册表中手动编辑SChannel:
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\
(需要重新启动 - 在开始之前拍摄快照;)
警告 - 错误配置SChannel可能会破坏RPD或限制哪些网络浏览器可以访问您的网站等。请仔细测试!
仅供参考我发现使用名为IIS Crypto的工具配置SChannel(https://www.nartac.com/Products/IISCrypto)更容易 - 它有一个GUI和一个CLI界面,用于编写对SChannel的更改脚本。 (你仍然可以使用这个工具破坏你的服务器!)
如果你想看看使用ACM和带有CloudFormation的loadbalencer我会建议注册&通过aws控制台批准证书并记下证书的ARN。在CloudFormation模板中创建loadbalencer时,可以使用此ARN。
注意:以上内容将解决扫描问题,但实际上并未解决问题。可以使用您自己的RDP证书(从未尝试过),但遗憾的是不能使用ACM证书。您还可以查看LetsEncrypt之类的服务以获得免费/基本证书。避免此错误的另一个选择是您可以从实例导出自签名证书并将其导入您的计算机(或域?)的证书存储区。