จำเป็นต้องติดตั้งใบรับรอง ssl ด้วย IP ของ Tomcat หรือไม่

ฉันมีใบรับรอง ssl ติดตั้งบนตัวโหลดบาลานเซอร์ของ AWS (app1.company.com) และหนึ่งตัวอย่างที่มี Tomcat อยู่ด้านหลัง LB

ถ้าฉันเปิด https://app1.company.com:8443/ ฉันเห็นว่าการเชื่อมต่อปลอดภัย/ล็อคถูกต้องบนแถบ URL หากฉันเปิดด้วย IP ส่วนตัวของ Tomcat ฉันเห็นสัญญาณการเชื่อมต่อไม่ปลอดภัย

ฉันทราบว่าใบรับรองมักจะผูกกับโดเมนเท่านั้น (หรือควรจะเป็นเท่านั้น) และไม่มีใครจะใช้ IP เพื่อเข้าถึงแอปพลิเคชันยกเว้นทีมงานที่ดูแลแอปพลิเคชัน ตอนนี้ฉันต้องต่ออายุใบรับรอง ฉันสงสัยว่าฉันควรติดตั้งบนที่เก็บคีย์ tomcat ซึ่งระบุไว้ใน $TOMCAT_HOME/conf/server.xml ด้วยหรือไม่

        <Connector
           protocol="org.apache.coyote.http11.Http11NioProtocol"
           port="8443" maxThreads="200"
           scheme="https" secure="true" SSLEnabled="true"
           keystoreFile="/home/ec2-user/tomcat.keystore" keystorePass="password"
           clientAuth="false" sslProtocol="TLS"/>

ขณะนี้ไฟล์นี้ไม่มีใบรับรองที่นำเข้าสำหรับ app1.company.com (เนื่องจากติดตั้งอยู่ในโหลดบาลานเซอร์) จะเพียงพอหรือไม่หากเพียงแค่แทนที่ใบรับรองใหม่ใน AWS load balancer และปล่อยที่เก็บคีย์ Tomcat ไว้ตามเดิม

ฉันขอแนะนำให้คุณบล็อกการเข้าถึงเซิร์ฟเวอร์โดยตรงเนื่องจากเป็นประตูหลังของเซิร์ฟเวอร์และการโจมตี DDOS ฉันจะทำสิ่งนี้โดยใส่อินสแตนซ์ Tomcat ลงในซับเน็ตส่วนตัว หากคุณต้องมีในซับเน็ตสาธารณะ ฉันจะทำให้แน่ใจว่ามีเพียงไม่กี่อย่างที่สามารถเข้าถึงได้ - ALB (การใช้ช่วง VPC CIDR นั้นง่ายที่สุด) และ IP ที่ระบุ หากเป็นแบบส่วนตัว คุณสามารถใช้ AWS Session Manager เพื่อเข้าถึงเซิร์ฟเวอร์จากคอนโซล AWS

ALB ของคุณสามารถใช้ ACM (AWS Certificate Manager) ซึ่งออกและต่ออายุใบรับรองได้ฟรี เหตุผลเดียวที่ฉันคิดได้ว่าจะใช้ผู้รับจดทะเบียนรายอื่นคือถ้าคุณต้องการใบรับรองการตรวจสอบเพิ่มเติมหรือคุณสมบัติอื่นๆ ใบรับรอง ACM สามารถใช้ได้เฉพาะกับโหลดบาลานเซอร์และใน CloudFront ไม่ใช่บนเซิร์ฟเวอร์ของคุณเอง

คุณสามารถใส่ใบรับรองลงในอินสแตนซ์ได้ แต่ฉันไม่แน่ใจว่ามันคุ้มไหม