amazon-web-services - Haproxy 授权来自 AWS API Gateway 的流量

Question

我已经使用 AWS API Gateway 设置了一个基本 API，我想将我的端点链接到我在 EC2 实例上运行的服务(使用“HTTP 代理”集成类型)。我读过，为了锁定我的 EC2 服务器仅接受来自 API 网关的流量，我基本上有以下两种选择之一:

1. 将 EC2 实例放在 VPC 后面，并使用具有 VPC 权限的 Lambda 函数(而不是 HTTP 代理)作为 API 请求的“传递”
2. 在 API 网关中创建一个客户端证书，使用该证书发出我的后端请求，并在 EC2 实例上验证该证书。

我想采用#2 的变体，而不是在 EC2 服务实例本身上验证证书，而是想在另一个运行 Haproxy 的实例上进行验证。我已经使用 Haproxy 设置了第二个 EC2 实例，并将其指向我的另一个实例作为后端。我已经锁定了我的服务实例，所以它只会接受来自 Haproxy 实例的请求。这一切都在起作用。我一直在努力弄清楚如何在 Haproxy 机器上验证 AWS 网关客户端证书(我已经生成)。我已经进行了大量的谷歌搜索，令人惊讶的是，关于如何做这件事的信息为零。几个问题:

1. 我读过的所有内容似乎都表明我需要在我的 Haproxy 机器上生成 SSL 服务器证书并在配置中使用它们。我是否必须这样做，或者我是否可以在不生成任何其他证书的情况下验证 AWS 客户端证书？
2. 我阅读的内容表明我需要生成一个 CA，然后使用该 CA 生成服务器和客户端证书。如果我确实需要生成服务器证书(在 Haproxy 机器上)，如果我无权访问亚马逊用来创建网关客户端证书的 CA，我该如何生成它们？据我所知，我只能访问客户端证书本身。

这里有什么帮助吗？

---

解决方案更新

1. 首先，我必须将我的 HAproxy 版本升级到 v1.5.14，这样我才能获得 SSL 功能
2. 我最初尝试使用 letsencrypt 生成官方证书。虽然我能够让 API 网关使用这个证书，但我无法在 API 网关接受的 HAproxy 机器上生成一个 letsencrypt 证书。该问题表现为来自 API 网关的“内部服务器错误”响应以及详细的 CloudWatch 日志中的“一般 SSLEngine 问题”。
3. 然后我从 Gandi 购买了通配符证书，并在 HAproxy 机器上进行了尝试，但最初遇到了完全相同的问题。但是，我能够确定我的 SSL 证书的结构不是 API 网关想要的。我用谷歌搜索并在这里找到了 Gandi 链: https://www.gandi.net/static/CAs/GandiStandardSSLCA2.pem然后我按如下方式构建我的 SSL 文件:

-----BEGIN PRIVATE KEY-----# private key I generated locally...-----END PRIVATE KEY----------BEGIN CERTIFICATE-----# cert from gandi...-----END CERTIFICATE-----# two certs from file in the above link

I saved out this new PEM file (as haproxy.pem) and used it in my HAproxy frontend bind statement, like so:

bind :443 ssl crt haproxy.pem verify required ca-file api-gw-cert.pem

上述绑定(bind)语句中的 api-gw-cert.pem 是一个包含我在 API 网关控制台中生成的客户端证书的文件。现在，HAproxy 机器可以正确阻止来自网关以外任何地方的任何流量。

Answer 1

The reading I have done suggests I would need to generate a CA and then use that CA to generate both the server and client certs.

这是一种方法，但不适用于这种情况。

您的 HAProxy 需要配置一个由受信任的 CA 签名的有效 SSL 证书——不是签署客户端证书的证书，也不是您创建的证书。它需要是由公共(public)的、受信任的 CA 签署的证书，其根证书位于 API 网关后端系统的信任库中……应该与您的网络基本相同浏览器信任，但可能是一个子集。

正如您的 Web 浏览器不会在不抛出您必须绕过的警告的情况下与拥有自签名证书的服务器对话 SSL 一样，API 网关的后端也不会与不受信任的证书协商(并且没有绕过)。

我只想说，您需要让 API 网关通过 TLS 与您的 HAProxy 对话， 尝试让它使用客户端证书，否则您会引入太多未知数。另请注意，您不能为此使用 Amazon Certificate Manager 证书，因为这些证书仅适用于 CloudFront 和 ELB，它们都不直接支持客户端证书。

一旦 HAProxy 与 API 网关一起工作，您就需要对其进行配置以对客户端进行身份验证。

您需要 ssl 和 verify required 在您的 bind 语句中，但是您无法在没有验证的情况下验证 SSL 客户端证书反对。

I only have access to the client cert itself, from what I can tell.

这就是您所需要的。

bind ... ssl ... 验证所需的 ca 文件/etc/haproxy/api-gw-cert.pem。

SSL 证书本质上是一个信任层次结构。树顶部的信任是明确的。通常，CA 是显式信任的，它签署的任何内容都是隐式信任的。 CA“担保”它签署的证书……以及它使用 CA 属性集签署的证书，CA 属性集也可以在它们下签署证书，从而扩展隐式信任。

不过，在这种情况下，您只需将客户端证书作为 CA 文件放入，然后客户端证书“证明”...本身。提供相同证书的客户端是可信的，其他任何人都断开连接。当然，只有证书不足以让客户端与您的代理对话——客户端还需要 API 网关拥有的匹配私钥。

因此，请考虑这两个单独的要求。首先让 API 网关通过 TLS 与您的代理通信……然后，根据客户端证书进行身份验证实际上是更容易的部分。