标签: amazon-elb

我一直在测试和试验一下,以了解如何将SSL证书上传到AWS的弹性负载均衡器(找出不同密钥和证书编码的问题).

因此我在那里有很多测试证书,我用错误的信息,缺少证书链或只是伪造的数据生成了这些证书.

据我所知,没有办法删除这些证书,甚至更新/替换缺少某些信息的证书.AWS的"更新证书"(http://docs.amazonwebservices.com/ElasticLoadBalancing/latest/DeveloperGuide/US_UpdatingLoadBalancerSSL.html)的说明实际上只是向您展示如何更改负载均衡器侦听器以使用已在其上的其他证书那里或那你也可以上传!(这正是我最初在那里获得如此多的证书的原因).

有人可以告诉我,我错了,还有办法删除它们吗？:D(最好也是怎么做)

我在使用自签名证书在我的aws弹性负载均衡器上配置https时遇到问题.完成设置后,连接到https端点不起作用.http连接仍然没问题.

这就是我做的.

1. 使用此命令生成自签名证书

   openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout privateKey.key -out certificate.crt

2. 使用此命令验证密钥和证书是否正常工作:

   openssl rsa -in privateKey.key -check openssl x509 -in certificate.crt -text
   -noout

3. 将证书密钥和证书转换为.pem编码格式,以符合aws证书要求.

   openssl rsa -in privateKey.key -text> private.pem

   openssl x509 -inform PEM -in certificate.crt> public.pem

4. 使用AWS管理控制台http://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/US_UpdatingLoadBalancerSSL.html将证书上传到我的弹性负载均衡器 .对于私钥和公共证书值,我使用了在步骤3中生成的private.pem和public.pem.

5. 进入EBL Listener配置,添加了一个https监听器并使用了我刚上传的证书.这是Listener的配置:

   

有什么想法我的配置可能有什么问题？谢谢!!!

使用Amazon Elastic Load Balancing的一种方式(或服务器端)TLS/HTTPS已有详细记录

从文档中可以清楚地看到对双向(或客户端)TLS/HTTPS的支持.

假设ELB正在终止TLS/HTTPS连接:

1. ELB是否支持客户端经过身份验证的 HTTPS连接？
2. 如果是这样,ELB服务的服务器是否收到一个X-Forwarded-*标头来识别ELB认证的客户端？

ELB确实支持TCP转发,因此EC2托管服务器可以建立双向TLS/HTTPS连接,但在这种情况下,我对ELB终止TLS/HTTPS连接和识别客户端感兴趣.

问题:

• 用户使用https://example.com/login登录
• 身份验证已获批准
• 在security.yml中配置,Symfony2在登录后将用户重定向到配置文件页面.
• 但它会将它们重定向到错误的网址http://example.com/homepage

security.yml:

security:

    encoders:
        FOS\UserBundle\Model\UserInterface: sha512

    role_hierarchy:
        ROLE_ADMIN:       ROLE_USER
        ROLE_SUPER_ADMIN: [ROLE_USER, ROLE_ADMIN, ROLE_ALLOWED_TO_SWITCH]

    providers:
        fos_userbundle:
            id: fos_user.user_provider.username_email

    firewalls:
        main:
            pattern:    ^/
            form_login:
                check_path: /login_check
                login_path: /login
                default_target_path: /profile
                provider: fos_userbundle
            logout:
                path:   /logout
                target: /splash
            anonymous: ~

    access_control:
        - { roles: ROLE_USER, requires_channel: https }
        - { path: ^/login, roles: IS_AUTHENTICATED_ANONYMOUSLY, requires_channel: https }

    acl:
        connection: default

环境架构:

Server1和Server2保存Symfony2应用程序.

题:

如何强制Symfony生成重定向URL与https协议而不是http？

到目前为止,我已经查看了这些文档,并且解决方案在我的情况下不起作用:

• http://symfony.com/doc/current/cookbook/routing/scheme.html

这似乎现在不起作用.我在亚马逊ELB背后使用Faye和NodeJS.当我打开HTTPS时,连接无法再进行中断.我发现这里的问题没有答案:https://forums.aws.amazon.com/message.jspa？ messageID = 283293.有人能够让这个工作吗？在运行我自己的HAProxy实例之外是否有任何工作？

我很想知道CloudWatch提供的ELB Latency Statistic究竟是什么意思.

根据文件:

• ELB延迟:"测量请求离开负载均衡器之后经过的时间,直到收到响应为止."

http://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/US_MonitoringLoadBalancerWithCW.html

我不是100%明确的是,在将响应转移到客户端之前,响应是否被缓冲到ELB？

文档中的陈述是否意味着:

• ELB延迟:"测量请求离开负载均衡器之后经过的时间,直到客户端收到响应为止."

要么:

• ELB延迟:"测量请求离开负载均衡器之后经过的时间,直到[ELB]收到响应为止."

我想了解一个糟糕的最大延迟CloudWatch指标是否可以通过在有线3G连接上拥有大量用户来解释,或者,如果它反而表明应用服务器偶尔会出现响应放缓的潜在问题.

我正在尝试将Amazon API网关放在应用程序负载均衡器之前,这样可以平衡流向我的ECS群集的流量,我的所有微服务都部署在那里.使用API​​网关的动机是通过lambda函数使用自定义授权程序.

系统图

在亚马逊语中(https://aws.amazon.com/api-gateway/faqs/):" 对后端操作的代理请求也需要在Internet上公开访问 ".这迫使我让ELB公开(面向互联网)而不是内部.然后,我需要一种方法来确保只有 API网关才能访问VPC外部的ELB.

我的第一个想法是在API Gatway中使用客户端证书,但ELB似乎不支持它.

任何想法都将受到高度赞赏!

我正在尝试设置一个侦听端口443的ALB,在随机端口上对ECS Docker容器进行负载均衡,假设我有2个相同任务定义的容器实例,侦听端口30000和30001.

当我尝试在AWS EC2管理控制台中创建目标组时,有一个"端口"输入字段,范围为1-65535.我应该在那里放几个号码？

当我尝试在AWS EC2容器服务控制台中创建新服务以及连接到现有ALB的新目标组时,目标组"端口"没有输入字段.创建后,导航到EC2控制台,新目标组的端口为"80".我必须在80端口听吗？但健康检查发生在"交通港",即集装箱港口30000和30001,那么重点是什么？

我在Amazon运行的服务器实例云使用其负载均衡器来分配流量.现在我正在寻找一种优雅的方法来优雅地缩小网络,而不会在浏览器端造成连接错误.

据我所知,当从负载均衡器中删除时,实例的任何连接都将被粗暴地终止.

我希望有一种方法可以在关闭之前一分钟通知我的实例,或者让负载均衡器停止向死亡实例发送流量,但不会终止与它的现有连接.

我的应用程序是基于在Ubuntu上运行的node.js.我也有一些特殊的软件在运行,所以我不想使用许多PAAS提供node.js托管.

谢谢你的任何提示.

该站点在HTTP上运行得非常好,但是在HTTPS上不起作用.我已按照此页面上的所有步骤创建自签名证书并将其添加到我的Elastic Beanstalk环境中. http://docs.aws.amazon.com/elasticbeanstalk/latest/dg/configuring-https.html

我还使用以下命令从IAM获得成功的证书响应:aws iam get-server-certificate --server-certificate-name

在使用证书更新Elastic Beanstalk之后,我还添加了一个规则到安全组,允许从0.0.0.0/0到端口443的入站流量.最后,我还验证了我的负载均衡器侦听器已设置HTTPS正确的.

尽管如此,我对https的调用仍未解决,而http工作正常.还有其他想法吗？任何帮助将非常感激.

如果您需要更多信息,请与我们联系.拼命寻找一些见解/帮助.

无论如何,我无法使用我的网站/代码解决此问题,我尝试在Elastic Beanstalk上提供的示例站点上设置HTTPS.有趣的是,即使这样也行不通.