我目前正致力于升级公司的应用程序基础架构。
我们开始拥有基本的基础架构 - 一个EC2实例,它是我们的Web服务器链接到RDS,MySQL数据库。
新的基础架构需要一个带有2个公共子网的VPC,其中包含EC2实例和2个私有子网。
所以,这就是我所做的,我从现有的EC2实例创建了一个图像,该实例中安装了SSL证书并且它与域名匹配。
从那张图片中,我发布了2个新的AMI并添加了一个负载均衡器。现在已经设置了整个基础设施,但现在问题就出现了 - 在将负载均衡器的DNS指向移动应用程序(通过API)之后,出现了错误,
javax.net.ssl.SSLException:证书中的主机名不匹配:!= OR OR 03-10 13:41:23.641 29743-30234 / example.hr W / System.err:at org.apache.http.conn.ssl.AbstractVerifier.verify(AbstractVerifier.java:190) 03-10 13:41:23.641 29743-30234 / example.hr W / System.err:at org.apache.http.conn.ssl.BrowserCompatHostnameVerifier.verify(BrowserCompatHostnameVerifier.java:59)
据我所知,我必须将负载均衡器DNS添加到根域(可以完成,但我们无法放下现有服务器)。那会有用吗?我可以这样做,但域名服务提供商需要一段时间才能将其添加为CNAME记录(因为它是.hr域名,它是受控的,有些记录无法轻易添加。需要一天以上的时间要做到这一点)
其次,如果我要在负载均衡器级别添加SSL证书,它是否会在实例级别上与SSL证书发生冲突?
我也在考虑获取新域并在实例级别进行配置,这将是一件麻烦事。有替代方案吗?
答案 0 :(得分:0)
在负载均衡器上终止安全连接并在后端使用HTTP可能就您的应用程序而言已足够。但是,如果您正在开发需要遵守严格的外部法规(EX:HIPPA Cert)的应用程序,则可能需要保护所有网络连接。
ELB执行SSL卸载/终止。负载均衡器使用证书终止连接,然后在将请求发送到实例之前解密来自客户端的请求,然后实例可以使用自签名证书。
参考: