Joe*_*moe 5 amazon-web-services amazon-cloudfront amazon-elb
如果我使用Cloudfront坐在网络服务器前面,它本身就在ELB后面,那么以下内容是否适用?
我使用Route53为CF域创建域名记录,并将SSL证书应用于该域以保护分发
如果CF无法从缓存中提供内容,则SSL连接将转发到ELB(将Web服务器作为源服务器)
因此,我还需要在ELB上使用相同的域名(FQDN)(通过Route53 CNAME)并在那里应用相同的证书?
当CF通过ELB转发请求时,SSL终止是吗?一个FQDN证书是否足以或更好地使用通配符?是否更好地使用原始服务器域名?
由于我现在可以使用新的AWS证书管理器工具(ACM)来添加这些证书,是否有人知道如果使用ACM(使CF成为昂贵的AWS服务),CF是否仍需要使用自定义SSL证书的成本?
Mat*_*ser 12
如果CF无法从缓存中提供内容,则SSL连接将转发到ELB(将Web服务器作为源服务器)
SSL连接未"转发".在CloudFront和ELB之间建立新的SSL连接.
用户与CloudFront之间的SSL连接与CloudFront和ELB之间的连接完全不同.因此,没有关于匹配ELB和CloudFront上使用的域名的要求.
因此,我还需要在ELB上使用相同的域名(FQDN)(通过Route53 CNAME)并在那里应用相同的证书?
唯一的限制是ELB上的SSL证书必须与ELB上使用的域名匹配.它可以是与CloudFront上使用的SSL证书和域名不同的SSL证书和域名.
如果您想使用"自定义SSL"功能并支持"所有客户端",而不仅仅是那些支持SNI的功能,那么是的,即使您使用的是ACM,也必须支付额外费用.
例1
您可以为www.domain.com和origin.domain.com创建Route 53记录,为*.domain.com创建SSL证书.通过这些,您可以将www.domain.com分配给CloudFront分配,将origin.domain.com分配给ELB,并在两者上使用通配符证书.
例2
您可以为www.domain.com和origin.domain.com创建Route 53记录,并为www.domain.com和origin.domain.com分隔SSL证书.通过这些,您可以使用www.domain.com证书将www.domain.com分配给CloudFront分配,使用origin.domain.com证书将origin.domain.com分配给您的ELB.
例3
您可以为www.domain1.com和origin.domain2.com创建Route 53记录,并为www.domain2.com和origin.domain2.com分隔SSL证书.通过这些,您可以使用www.domain2.com证书将www.domain2.com分配给CloudFront分配,使用origin.domain2.com证书将origin.domain2.com分配给您的ELB.
| 归档时间: |
|
| 查看次数: |
6161 次 |
| 最近记录: |