jol*_*ola 4 https load-balancing ssl-certificate amazon-ec2 amazon-web-services
开始在 AWS 中设置负载均衡器时,我遇到了一些其他问题。
基本上我有一个网站/应用程序部署在 EC2 实例中。我想通过证书管理器使用 AWS 生成的证书来确保其安全。据我所知,EC2本身无法管理此功能,实现此功能的一种简单方法是在 EC2 前面部署一个负载均衡器,以保护客户端与我的 ACM 证书的通信。
也许很容易,但不适合我......
问题 1:由于我不想部署多个 EC2 实例,因此我需要部署“经典负载均衡器”而不是“应用程序负载均衡器”(因为后者需要至少 2 个 EC2 实例)。它是否正确?
问题 2:我希望网站的访问者在他们的浏览器中看到“安全”指示。我认为这意味着我需要一直使用 HTTPS客户端 <-> 负载均衡器 <-> EC2,并且无法终止 LB 中的 SSL/HTTPS。这是一个正确的假设吗?
问题 3:如果前面的假设正确,我是否应该使用另一个证书来进行负载均衡器和 EC2 之间的 HTTPS 通信?Afaiu 我在 ACM 里的那个不能用。正确的方法是在 ACM 中生成一个新的私有证书来用于此目的吗?
问题 4:如果是这样,私有证书是否仍会给最终用户带来完全签名证书的好处,还是会被视为自签名证书(我不想要)?
问题 5:也许完全错误(并表明我对证书了解多少;-),但由于我在 ec2 实例上已经有另一个 ssh 证书(来自我的 IAM 用户,我用它来 ssh 到 ec2 实例),可以这个可以在负载均衡器 <-> EC2 步骤中使用吗?
好吧,这就是我的想法,至少现在是这样……谢谢!
更新感谢 有用的答案,我得到了这个工作,结果比我在编写原始问题时想象的要容易。我刚刚使用我的 ACM 证书启动了带有 http 和 https 侦听器的“应用程序负载均衡器”,保留所有默认选项。将外部 DNS 中的 CNAME 条目添加到负载均衡器的 DNS 名称中,SSL 就可以正常工作。
您可以直接在 EC2 实例上使用 Let's Encrypt 证书或任何其他证书。但您无法使用 ACM 证书。这将避免对负载平衡器的需要。我在这里有一个关于此的简短教程。
回答您的问题
我认为 ALB 不需要多个 EC2 实例,一个就可以了。
如果设置正确,您可以终止负载均衡器上的 HTTPS,浏览器仍会将连接显示为安全。这通常适用于大多数工作负载,因为 AWS 内部网络被认为是可信且安全的。
您可以使用任何其他类型的证书进行端到端加密。
您必须检查自签名证书是否适用于 ALB。鉴于 Let's Encrypt 是免费且简单的,我不明白你为什么要费心。
不,它们是不同类型的证书。
| 归档时间: |
|
| 查看次数: |
2994 次 |
| 最近记录: |