Ric*_*ora 5 ssl ssl-certificate amazon-web-services
我正在为Rails多租户应用程序做一些规划,并想知道处理自定义域证书的最佳方法是什么.应用程序非常标准; ELB,应用程序服务器和多租户DB.
在我目前的用例中,租户每个都有一个独特的应用子域.这通常使用通配符证书处理.
但是,当我展望未来并考虑自定义域支持(SSL证书是由客户端上传还是自行生成并存储在AWS Certificate Manager中)时,我不确定如何最好地处理安装多个证书.假设已经配置了名称服务器,并且我已经通过AWS CM,letsencrypt或者已经生成/保护了相应的SSL证书.
我可以看到一些选项,我喜欢一些关于如何最好地进行的方向:
在这种情况下,我看到安装了自定义域证书的ELB.ELB充当代理并指向主ELB,然后按正常方式加载余额.我自己喜欢这种方法,每个ELB额外的20美元/月+是好的.
问题:你可以链接多个ELB而不会丢失重要的头数据(比如主机吗?)我之前没有尝试过这个.
在这种情况下,每个自定义域都将安装在安装了自定义域证书的ELB上,并且每个服务器实例都将直接注册到它.我不认为这是理想的,因为每次我向上/向下旋转实例时,我都必须自动(de /)在每个ELB上注册实例.
使用HAProxy或替代方案,可以根据需要加载和删除SSL证书.然后,我需要(de /)使用HAProxy注册实例,以及直接管理HAProxy服务器.我不赞成这种方法,因为我正在尝试减少我需要直接管理的实例数量.
这对我来说非常难看,因为我需要在启动时在每个应用程序服务器上安装每个证书,然后在每个服务器更改时重启(?).
我还缺少其他方法吗?考虑因素我忽略了?
Chris在下面提到(再次感谢!)AWS Application Load Balancers最多可支持25个证书.这肯定足以让我开始,但是我很好奇这种方法可以扩展到什么范围之外.多个ALB,HAProxy还是......?
2017 年 10 月 10 日,AWS 宣布在应用程序负载均衡器 (ALB) 上支持多个 SSL 证书。
所以解决方案就是使用ALB。您可以将多个目标组与每个 ALB 关联,并且可以执行基于主机名的路由,因此即使您最终必须对后端进行分片,您仍然可以指向单个 ALB。
编辑 1:正如@Michael - sqlbot 指出的那样,如果每个 ALB 需要超过 25 个证书,您可能希望开始使用多个 ALB 只是为了减少爆炸半径。
但如果出于某种原因您需要执行此操作,则需要考虑的另一种选择(注意:我还没有尝试过)是使用 CloudHSM进行 SSL/TLS 处理。有两个版本:CloudHSM Classic(一次性费用为 5,000 美元,另加 1.88 美元/小时的专用设备)和新的 CloudHSM,仅需 1.60 美元/小时。
| 归档时间: |
|
| 查看次数: |
718 次 |
| 最近记录: |