本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
確認已為 Amazon ECS 服務 Connect 啟用 TLS
服務 Connect 會在服務 Connect 代理程式中起始 TLS,並在目的地代理程式終止它。因此,應用程式程式碼永遠不會看到 TLS 互動。請使用下列步驟來確認 TLS 已啟用。
-
確定您的應用程式映像具有
openssl
CLI。 -
在您的服務上啟用 ECS Exec,以透過 SSM 連線到您的工作。或者,您可以在與服務相同的 Amazon VPC 中啟動 Amazon EC2 執行個體。
-
從您要驗證的服務擷取工作的 IP 和連接埠。例如,如果您的
redis
服務已開啟 TLS,您可以透過導覽至、尋找服務 AWS Cloud Map,以及查看某個執行個體的 IP 和連接埠來擷取其任務 IP。 -
使用類似以下示
execute-command
例中的任何任務登錄。或者,登入步驟 2 中建立的 Amazon EC2 執行個體。$ aws ecs execute-command --cluster cluster-name \ --task < TASK_ID> \ --container app \ --interactive \ --command "/bin/sh"
注意
直接呼叫 DNS 名稱並不會顯示憑證。
-
在連線的命令介面中,使用
openssl
CLI 驗證並檢視連接至工作的憑證。範例:
openssl s_client -connect 10.0.147.43:6379 < /dev/null 2> /dev/null \ | openssl x509 -noout -text
回應範例:
Certificate: Data: Version: 3 (0x2) Serial Number: <serial-number> Signature Algorithm: ecdsa-with-SHA256 Issuer: <issuer> Validity Not Before: Jan 23 21:38:12 2024 GMT Not After : Jan 30 22:38:12 2024 GMT Subject: <subject> Subject Public Key Info: Public Key Algorithm: id-ecPublicKey Public-Key: (256 bit) pub: <pub> ASN1 OID: prime256v1 NIST CURVE: P-256 X509v3 extensions: X509v3 Subject Alternative Name: DNS:redis.yelb-cftc X509v3 Basic Constraints: CA:FALSE X509v3 Authority Key Identifier: keyid:<key-id> X509v3 Subject Key Identifier: 1D:<id> X509v3 Key Usage: critical Digital Signature, Key Encipherment X509v3 Extended Key Usage: TLS Web Server Authentication, TLS Web Client Authentication Signature Algorithm: ecdsa-with-SHA256 <hash>