確認已為 Amazon ECS 服務 Connect 啟用 TLS

服務 Connect 會在服務 Connect 代理程式中起始 TLS，並在目的地代理程式終止它。因此，應用程式程式碼永遠不會看到 TLS 互動。請使用下列步驟來確認 TLS 已啟用。

1. 確定您的應用程式映像具有 openssl CLI。

2. 在您的服務上啟用 ECS Exec，以透過 SSM 連線到您的工作。或者，您可以在與服務相同的 Amazon VPC 中啟動 Amazon EC2 執行個體。

3. 從您要驗證的服務擷取工作的 IP 和連接埠。例如，如果您的redis服務已開啟 TLS，您可以透過導覽至、尋找服務 AWS Cloud Map，以及查看某個執行個體的 IP 和連接埠來擷取其任務 IP。

   

4. 使用類似以下示execute-command例中的任何任務登錄。或者，登入步驟 2 中建立的 Amazon EC2 執行個體。

   $ aws ecs execute-command --cluster cluster-name \
       --task < TASK_ID>  \
       --container app \
       --interactive \
       --command "/bin/sh"

   注意

   直接呼叫 DNS 名稱並不會顯示憑證。

5. 在連線的命令介面中，使用 openssl CLI 驗證並檢視連接至工作的憑證。

   範例：

   openssl s_client -connect 10.0.147.43:6379 < /dev/null 2> /dev/null \ 
   | openssl x509 -noout -text

   回應範例：

   Certificate:
       Data:
           Version: 3 (0x2)
           Serial Number:
               <serial-number>
           Signature Algorithm: ecdsa-with-SHA256
           Issuer: <issuer>
           Validity
               Not Before: Jan 23 21:38:12 2024 GMT
               Not After : Jan 30 22:38:12 2024 GMT
           Subject: <subject>
           Subject Public Key Info:
               Public Key Algorithm: id-ecPublicKey
                   Public-Key: (256 bit)
                   pub:
                       <pub>
                   ASN1 OID: prime256v1
                   NIST CURVE: P-256
           X509v3 extensions:
               X509v3 Subject Alternative Name:
                   DNS:redis.yelb-cftc
               X509v3 Basic Constraints:
                   CA:FALSE
               X509v3 Authority Key Identifier:
                   keyid:<key-id>
   
               X509v3 Subject Key Identifier:
                   1D:<id>
               X509v3 Key Usage: critical
                   Digital Signature, Key Encipherment
               X509v3 Extended Key Usage:
                   TLS Web Server Authentication, TLS Web Client Authentication
       Signature Algorithm: ecdsa-with-SHA256
           <hash>