Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Überprüfen, ob TLS für Amazon ECS Service Connect aktiviert ist
Service Connect initiiert TLS auf dem Service Connect-Agenten und beendet es auf dem Zielagenten. Infolgedessen sieht der Anwendungscode niemals TLS-Interaktionen. Gehen Sie wie folgt vor, um zu überprüfen, ob TLS aktiviert ist.
-
Fügen Sie die
openssl
CLI in Ihr Anwendungs-Image ein. -
Aktivieren Sie ECS Exec auf Ihren Diensten, um über SSM eine Verbindung zu Ihren Aufgaben herzustellen. Alternativ können Sie eine EC2 Amazon-Instance in derselben Amazon VPC wie der Service starten.
-
Rufen Sie die IP und den Port einer Aufgabe von einem Service ab, den Sie verifizieren möchten. Sie können die IP-Adresse der Aufgabe in der AWS Cloud Map Konsole abrufen. Die Informationen befinden sich auf der Seite mit den Dienstdetails für den Namespace.
-
Melden Sie sich
execute-command
wie im folgenden Beispiel bei einer Ihrer Aufgaben an. Melden Sie sich alternativ bei der in Schritt 2 erstellten EC2 Amazon-Instance an.$ aws ecs execute-command --cluster
cluster-name
\ --tasktask-id
\ --containercontainer-name
\ --interactive \ --command "/bin/sh"Anmerkung
Wenn Sie den DNS-Namen direkt aufrufen, wird das Zertifikat nicht angezeigt.
-
Verwenden Sie in der verbundenen Shell die
openssl
CLI, um das an die Aufgabe angehängte Zertifikat zu überprüfen und anzuzeigen.Beispiel:
openssl s_client -connect 10.0.147.43:6379 < /dev/null 2> /dev/null \ | openssl x509 -noout -text
Beispielantwort:
Certificate: Data: Version: 3 (0x2) Serial Number: <serial-number> Signature Algorithm: ecdsa-with-SHA256 Issuer: <issuer> Validity Not Before: Jan 23 21:38:12 2024 GMT Not After : Jan 30 22:38:12 2024 GMT Subject: <subject> Subject Public Key Info: Public Key Algorithm: id-ecPublicKey Public-Key: (256 bit) pub: <pub> ASN1 OID: prime256v1 NIST CURVE: P-256 X509v3 extensions: X509v3 Subject Alternative Name: DNS:redis.yelb-cftc X509v3 Basic Constraints: CA:FALSE X509v3 Authority Key Identifier: keyid:<key-id> X509v3 Subject Key Identifier: 1D:<id> X509v3 Key Usage: critical Digital Signature, Key Encipherment X509v3 Extended Key Usage: TLS Web Server Authentication, TLS Web Client Authentication Signature Algorithm: ecdsa-with-SHA256 <hash>