子域发布AWS通配符证书

Posted 2021-04-07

我有一个域名，例如在亚马逊路线53中连接到ELB的domain.com。

我在同一个托管区域中有几个子域，例如one.domain.com，two.domain.com和three.domain.com，它们通过其IP连接到另一个ec2实例。

现在，我已在AWS证书管理器中为domain.com和* .domain.com创建了一个通配符SSL，然后在* domain.com的路由53（在同一托管区域中）添加了一条A记录，该记录将指向同一个ELB。 domain.com。

现在ELB中的所有子域都正常工作，但其他子域one.domain.com，two.domain.com和three.domain.com通过其IP连接到另一个ec2实例不起作用。

可能是什么原因？

答案

ACM提供的证书只能与Elastic Beanstalk，API Gateway，Cloudfront和Elastic LoadBalancer一起使用。有关详细信息，请参阅this。

因此，如果您尝试将其附加到EC2实例，那将无法正常工作。

此外，* .domain.com证书允许您使用与a.domain.com和b.domain.com等子域相同的证书。但是，Route 53条目必须是a.domain.com和b.domain.com。不是* .domain.com。

另一答案

您应该删除EC2端的SSL，ELB和ACM的SSL句柄。

来自AWS doc：

负载均衡器接收来自客户端的请求，并将这些请求分发到向负载均衡器注册的EC2实例。

您可以创建一个侦听HTTP（80）和HTTPS（443）端口的负载均衡器。如果指定HTTPS侦听器将请求发送到端口80上的实例，则负载均衡器会终止请求，并且不会加密从负载均衡器到实例的通信。如果HTTPS侦听器向端口443上的实例发送请求，则会加密从负载均衡器到实例的通信。

如果负载均衡器使用加密连接与实例进行通信，则可以选择启用实例的身份验证。这可确保负载均衡器仅在其公钥与您为此目的指定给负载均衡器的密钥匹配时才与实例通信。

更多阅读Create a Classic Load Balancer with an HTTPS Listener