我在AWS的Application ELB后面有一个ec2实例。我想将SSL应用于ec2实例以及负载均衡器。对于ec2实例,我已经购买了ssl并安装了它,并且工作正常。对于负载均衡器,我将使用免费的AWS ACM证书并将其安装在负载均衡器上。请问有什么问题吗?即在ec2和elb上都安装SSL。
答案 0 :(得分:0)
如果在ELB使用SS1 / TSL,它将处理HTTPS连接的加密/解密(释放EC2实例的CPU来执行其他工作)。
如果将HTTPS / SSL连接用于后端,则可以在后端实例上启用身份验证。此身份验证可用于确保后端实例仅接受加密的通信,并确保后端实例具有正确的证书。
由于ELB HTTPS侦听器不支持客户端SSL证书,因此在ELB和后端同时使用SSL / TLS可能会造成问题。 我认为您正在使用2向SSL(相互或客户端身份验证)
答案 1 :(得分:0)
它不会有任何问题,但确实有一个警告。进入Application Load Balancer(ALB)的流量将被加密,并且ACM证书将由客户端验证。从ALB到主机的流量也将被加密,但主机上的证书将不被验证。
根据以下参考,ALB后端身份验证似乎在AWS的路线图上。撰写第一篇参考文献的AWS工程师在此报价中总结了将其作为非优先事项的原因:
服务器证书在TLS中扮演的角色是对服务器进行身份验证,以使其无法被模拟或MITM。 ALB仅在我们的Amazon VPC网络(软件定义网络)上运行,我们在其中对数据包级别的流量进行封装和身份验证。
这样做的好处是,在主机上使用ALB或ELB时,可以在主机上使用自签名证书来节省资金。
如果需要确保主机上的证书有效,则可以使用Classic Elastic Load Balancer(ELB)。有关更多详细信息,请参见参考。
参考