1. घर
  2. सवाल और जवाब
  3. अमेज़ॅन एडब्ल्यूएस ईएलबी पर पीसीआई अनुपालन के लिए कौन सी एसएसएल सिफर?

अमेज़ॅन एडब्ल्यूएस ईएलबी पर पीसीआई अनुपालन के लिए कौन सी एसएसएल सिफर?

2012-02-23 7 views
6

हम एडब्ल्यूएस पर भार संतुलित ईसी 2 उदाहरण पर पीसीआई अनुपालन की कोशिश कर रहे हैं। एक मुद्दा जिसे हमें हल करना है वह है कि हमारा लोड बैलेंसर कमजोर सिफर स्वीकार करता है। हालांकि, ईएलबी सिफर सुइट का समर्थन नहीं करता है, इसलिए मुझे प्रत्येक सिफर को मैन्युअल रूप से सेट करना होगा। समस्या यह है कि, मुझे एक मजबूत सिफर के रूप में योग्यता की एक सूची नहीं मिल रही है। उदाहरण के लिए, जो सिफर इस सेटिंग का अनुवाद करता है:अमेज़ॅन एडब्ल्यूएस ईएलबी पर पीसीआई अनुपालन के लिए कौन सी एसएसएल सिफर?

SSLCipherSuite सभी: aNULL: ADH: eNULL: कम: ऍक्स्प: RC4 + आरएसए: + उच्च: + मध्यम

यह आश्चर्यजनक रूप से मुश्किल है इस जानकारी को ढूंढें, और अमेज़ॅन में एक डिफ़ॉल्ट पीसीआई अनुपालन सेटिंग नहीं है (जो इतनी मूर्खतापूर्ण प्रतीत होती है - उनके पास दो डिफ़ॉल्ट नीतियां हैं, क्यों "तीसरा पीसीआई" या कुछ नहीं कहा जाता है)।

स्रोत

2012-02-23 Seamus James

उत्तर

6

अपडेट/सुझाव: कृपया, सीमस पढ़ने के लिए 'के साथ-टिप्पणियों का पालन एक ईएलबी स्थापना के पीसीआई प्रमाणीकरण की दिशा में अपना रास्ता कम करने के लिए सही एसएसएल सिफर उठा insofar के लिए सुनिश्चित करें निकला पहेली में से एक हिस्सा बनने के लिए केवल ।

काफी एक पहेली - एक डिफ़ॉल्ट PCI शिकायत Elastic Load Balancing (ELB) सेटिंग वास्तव में बहुत मददगार हो सकता है;)

आप इन सभी टैग SSLCipherSuite निर्देश की अपाचे दस्तावेज में सही मतलब निकाला पा सकते हैं, जैसे:

    !
  • aNULL - नहीं कोई प्रमाणीकरण
  • ADH - बेनामी Di का उपयोग नहीं कर सभी सिफर ffie-हेलमैन कुंजी विनिमय
  • eNULL - नहीं कोई एन्कोडिंग
  • ...

इस के रूप में विशेष रूप से Creating a Load Balancer With SSL Cipher Settings and Back-end Server Authentication और Configuring SSL Ciphers में चर्चा आप संबंधित ईएलबी सेटिंग में उनका अनुवाद करने की अनुमति चाहिए।

शुभकामनाएं!

स्रोत

2012-02-23 19:47:54

+1

मैं एक जोड़ी के लिए बहुत उपयोगी लिंक नहीं मिला जो लोग इस समस्या का पीछा करते हैं: सिफर और उनकी संबंधित ताकत की एक सूची: http://drjohnstechtalk.com/blog/2011/09/the-basics-of-how-to-work-with-ciphers/ अपने समायोजन के बारे में एक पोस्ट उदाहरण के साथ कमांड लाइन टूल्स का उपयोग करके लोड बैलेंसर सेटिंग्स: https://forums.aws.amazon.com/message.jspa?messageID=276031 कमांड लाइन टूल्स का उपयोग करके, आप एक पॉलिसी जोड़ सकते हैं जो एक-एक करके समाप्त हो सकती है अपमानजनक सिफर। –

+2

ठीक है, हमें हमारे पीसीआई प्रमाणन मिला, लेकिन कई परीक्षणों और त्रुटियों के बिना नहीं।कुछ सुझाव: - सुनिश्चित करें कि आप अपने डोमेन को स्कैन कर रहे हैं, न कि आपके आईपी (यदि आप लोड बैलेंसर का उपयोग कर रहे हैं)। इसके अतिरिक्त, सुनिश्चित करें कि आप अपने सर्वर को कस लें, भले ही यह लोड बैलेंसर के पीछे हो। यदि वे आपके आईपी से कनेक्ट होते हैं तो यह एलबी को बाईपास कर देगा - सुनिश्चित करें कि आप सभी 256 सिफर और कम से कम एक या दो 128 खोलें, या आपको IE8 के साथ समस्याएं होनी चाहिए और कनेक्ट करने में सक्षम होना चाहिए। - पोस्ट 443 को सुनने के लिए इसे सेट करके अपनी नीति तैयार करने के बाद अपनी नीति लागू करने के लिए याद रखें। –

+0

@ सेमुसजम्स: भविष्य के पाठकों को मार्गदर्शन करने के लिए इन विवरणों का पालन करने के लिए धन्यवाद, बहुत सराहना की - आपकी युक्तियां दूसरों को कुछ समय बचाने में मदद कर सकती हैं इसी तरह के परिदृश्यों में, मैंने तदनुसार एक संबंधित सूचक के साथ अपना जवाब अपडेट कर दिया है! –

0

मैंने पाया एडब्ल्यूएस ईएलबी एसएसएल सिफर के लिए निम्न सेटिंग PCI अनुपालन स्कैन उपयोग हम पारित कर दिया:

प्रोटोकॉल: SSLv3, TLSv1

सिफर: CAMELLIA128-SHA, CAMELLIA256-SHA, krb5-RC4-MD5 , krb5-RC4-SHA, RC4-MD5, RC4-SHA, बीज-SHA

इसके अलावा, मैं इस वेबसाइट उपयोगी प्रोटोकॉल सत्यापित करने के लिए मिल गया/सिफर चल: https://www.ssllabs.com/ssltest/index.html

स्रोत

2013-02-13 14:25:04 CharlesA

संबंधित मुद्दे

 संबंधित मुद्दे