为什么Elastic Beanstalk Load Balancer拒绝建立SSL连接?

时间:2017-12-19 15:28:24

标签: amazon-web-services ssl dns elastic-beanstalk elastic-load-balancer

最近,我开始搜索安全程序并遇到了SSL。实际上,我已经了解了SSL,但当时发现它太贵了。 幸运的是,昨天我发现亚马逊免费提供SSL证书! 但是,我花了一整天的时间来设置它,但它没有用。

我在GoDaddy注册了一个域名,让我们假设它是www.mydomain.com。但是,我的网站托管在亚马逊网络服务(AWS)上。我还可以编辑GoDaddy的DNS记录和对我的AWS账户的完全访问权限。我见过LetsEncrypt,但我的网站运行在ASP.NET(IIS Windows)中,目前它们只支持Linux操作系统。

这是我试图做的事情:

  1. 从AWS Certificate Manager获取SSL证书

    我选择通过DNS设置,这意味着我必须向GoDaddy域记录添加CNAME记录。

    AWS Certification Manager Page

    Go Daddy Domain Records Page

    如果仔细查看两张图片,AWS上的CNAME记录就位于页面的中心。我添加了一条包含值的CNAME记录。

  2. 将HTTPS添加到Load Balancer Listeners:

    Load Balancer Listeners

  3. 在安全组上允许使用HTTPS

    Security Groups

    注意:入站和出站规则都如上所述。我还设置了Load Balancer和我的运行实例来使用此安全组。

  4. 为Route 53 Hosted Zones添加了记录

    Route 53 Hosted Zone Records

    A类型记录指向我的实例IP。

    NS记录由亚马逊生成(我也添加了GoDaddy的名称服务器)。

    SOA记录是由亚马逊生成的,我没有触及它。

    我添加了CNAME,它又是SSL协议。

    5. 我不知道还能做什么,或者我的设置是否错误。

1 个答案:

答案 0 :(得分:1)

如果我没弄错的话,你有一个ELB实例(经典/应用程序/ NLB),请求已成功发布* .mydomain.com的ACM证书,创建HTTPS侦听器以使用SSL证书但是在端口443上获得连接时间。

问题是mydomain.com的DNS记录仍然指向EC2实例的IP,它可能没有侦听端口443(并且根本没有使用ELB)。

所以,要解决这个问题,你必须使用ELB's DNS name and use it as CNAME in your DNS record(不确定是否在Route 53或GoDaddy,因为我不知道哪个是权威NS)。

此外,您可以考虑使用mydomain.com和* .mydomain.com请求新证书并更新监听器,因为带有* .mydomain.com的ACM证书不保护mydomain.com。

相关问题
最新问题