Сертификат AWS Cloud Map
Мне очень нравится AWS Cloud Map (Service Discovery в AWS). Он интегрируется с AWS DNS, чтобы упростить обнаружение сервисов. Просто зарегистрируйте экземпляр службы, и вы сможете обнаружить службу с помощью обычного разрешения DNS. Например, curl http: //hello-world.production будет подключаться к производственному экземпляру службы hello-world. Отлично.
Моя проблема в том, что я хочу защитить свой трафик между моими микросервисами с помощью HTTPS. Однако как мне сгенерировать сертификат / ключ для чего-то вроде hello-world.production? Является ли частный центр сертификации единственным вариантом? Я знаю, что AWS поддерживает это, но нужно ли мне внедрять корневой сертификат для моего частного ЦС во все мои микросервисы? В идеале я бы избегал использования частного центра сертификации. Если это лучший способ, есть ли способ гарантировать, что все мои внутренние службы имеют корневой сертификат CA?
Спасибо!
Да. CA в Вашем случае должен был бы быть частным.
, Если Вы думаете об этом, у меня мог бы также быть сервис, названный hello-world.production. Поскольку общедоступный CA был бы в хранилище доверительном привязки большинства/всех клиентов, если бы общедоступный CA выпустил сертификат и Вам, и я, клиенты, соединяющиеся, не знали бы, с кем они соединяются. Общедоступный CA может только выпустить сертификаты объектам, которые глобально уникальны. Коммерческая АВАРИЯ обычно полагается на глобальную уникальность DNS или адресов электронной почты (в зависимости от использования сертификата) для этого.
Ваш частный CA, с другой стороны, только будет в хранилище доверительном привязки Ваших клиентов, и он только выпустит сертификаты Вашему экземпляру hello-world.production. Если Ваши клиенты так или иначе попытаются соединиться с моим экземпляром, то он перестанет работать, поскольку мне не выпустит сертификат частный CA, которому доверяют Ваши клиенты.
существует много способов распределить сертификат хранилищу клиента доверительному привязки:
- Windows имеет Групповую политику;
- Добавляют его к изображению Докера;
- Распределяют с Microsoft SCCM;
- Распределяют с инструментами управления конфигурацией с открытым исходным кодом (Ansible/Puppet/Chef и т.д.);
то, Как Вы распределяете, зависит от Вашего сценария.
, Если Вы не хотите проблемы выполнить частный CA, Вы могли бы рассмотреть управляемое частное Приблизительно, AWS, Digicert, Entrust и Sectigo предоставляют эту услугу по стоимости.