mas*_*ick 7 ssl amazon-web-services amazon-elb tls1.2 aws-application-load-balancer
当我创建 ELB(即应用程序负载均衡器)时,Amazon 为其提供一个 DNS 名称,例如:
myalb-1472119708.eu-central-1.elb.amazonaws.com
现在,我想终止我的 ALB 上的 TLS/SSL,但是,我不想附加我自己的证书(例如来自证书管理器的证书),我可以通过默认 DNS 名称(ALB 的)访问我的应用程序)通过 HTTPS:
https://myalb-1472119708.eu-central-1.elb.amazonaws.com
但是,使用默认配置,我只能通过 HTTP 访问我的应用程序:
http://myalb-1472119708.eu-central-1.elb.amazonaws.com
AWS 支持这个(反问句)吗?有计划在不久的将来添加此功能吗?谢谢。
更新:毕竟这不是一个很难实现的功能。此外,SSL 是当今运行(安全)Web 应用程序的事实上的标准。我相信,AWS可以为每个区域的ELB颁发通配符证书,例如:
*.eu-central-1.elb.amazonaws.com
然后默认将其附加到每个 ALB。或者发布每个区域的证书 ARN 列表。这将使开发人员无需为非生产项目付出额外的努力(购买域名、在 ACM 中注册证书)。
在撰写本文时,解决此问题的唯一方法是在CloudFront后面运行 ALB/ELB ,这(与 ALB 不同)默认为您提供 TLS 证书:
User -> CloudFront edge location (HTTPS) -> ALB (HTTP) -> Backend (HTTP)
尽管 CloudFront 会产生额外成本,但除了缓存静态内容的能力之外,CloudFront 还为您提供了更快的 TLS 终止(这发生在其边缘位置),从而减少了前两次 TLS 握手往返的延迟(理论上为 2 个,但在实际情况下为 3 个)低带宽客户端)。