Verificação da habilitação do protocolo TLS para o Amazon ECS Service Connect - Amazon Elastic Container Service

Verificação da habilitação do protocolo TLS para o Amazon ECS Service Connect

O Service Connect inicia o TLS no agente do Service Connect e o encerra no agente de destino. Como resultado, o código da aplicação nunca vê interações TLS. Use as etapas apresentadas a seguir para verificar se o protocolo TLS está habilitado.

  1. Inclua a CLI do openssl na imagem da sua aplicação.

  2. Habilite o ECS Exec nos serviços para se conectar às tarefas via SSM. Como alternativa, é possível iniciar uma instância do Amazon EC2 na mesma Amazon VPC do serviço.

  3. Recupere o IP e a porta de uma tarefa de um serviço que deseja verificar. O endereço IP da tarefa pode ser recuperado no console do AWS Cloud Map. As informações estão na página de detalhes do serviço do namespace.

  4. Faça login em qualquer uma de suas tarefas usando execute-command como no exemplo apresentado a seguir. Como alternativa, faça login na instância do Amazon EC2 criada na Etapa 2.

    $ aws ecs execute-command --cluster cluster-name \
    --task task-id  \
    --container container-name \
    --interactive \
    --command "/bin/sh"
    nota

    Chamar o nome do DNS diretamente não revela o certificado.

  5. No shell conectado, use a CLI openssl para verificar e visualizar o certificado anexado à tarefa.

    Exemplo: .

    openssl s_client -connect 10.0.147.43:6379 < /dev/null 2> /dev/null \ 
| openssl x509 -noout -text

    Exemplo de resposta:

    Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            <serial-number>
        Signature Algorithm: ecdsa-with-SHA256
        Issuer: <issuer>
        Validity
            Not Before: Jan 23 21:38:12 2024 GMT
            Not After : Jan 30 22:38:12 2024 GMT
        Subject: <subject>
        Subject Public Key Info:
            Public Key Algorithm: id-ecPublicKey
                Public-Key: (256 bit)
                pub:
                    <pub>
                ASN1 OID: prime256v1
                NIST CURVE: P-256
        X509v3 extensions:
            X509v3 Subject Alternative Name:
                DNS:redis.yelb-cftc
            X509v3 Basic Constraints:
                CA:FALSE
            X509v3 Authority Key Identifier:
                keyid:<key-id>

            X509v3 Subject Key Identifier:
                1D:<id>
            X509v3 Key Usage: critical
                Digital Signature, Key Encipherment
            X509v3 Extended Key Usage:
                TLS Web Server Authentication, TLS Web Client Authentication
    Signature Algorithm: ecdsa-with-SHA256
        <hash>