没有自定义域的 AWS 上的 SSL 应用程序负载均衡器

Posted 2023-03-04

【中文标题】没有自定义域的 AWS 上的 SSL 应用程序负载均衡器

【英文标题】：SSL application load balancer on AWS WITHOUT a custom domain

【发布时间】：2019-10-19 06:31:50

【问题描述】：

如果我不想使用自定义域，是否可以为 AWS 上的应用程序负载均衡器提供 SSL 证书，只允许 HTTPS 连接？

目前正在开发一些内部仪表板应用程序，因此不需要/不需要附加到它们的域名。

当我想将域转发添加到 LB 时，我只能在 Cloudformation 中挖掘创建证书的信息和教程。

【问题讨论】：

那么 ssl 证书将针对哪个域颁发？

缺少的是“您如何访问仪表板”。例如，如果您打算执行 foo.com/dashboard 之类的操作，您将依赖 foo.com 上的负载均衡器和/或反向代理来执行正确的路由。如果您打算使用由本地 dns（如 dash.foo.local）管理的非标准域，则必须安装、使用和管理自签名证书。

【参考方案1】：

SSL 证书必须具有与其关联的有效 DNS 名称才能正常工作。您需要通过 ACM 请求证书，然后将其附加到 ELB。您可以将 ELB 配置为仅具有 HTTPS 侦听器以强制进行安全通信。

【参考方案2】：

可能不会。

向 IP 地址颁发 SSL 证书通常是不道德的，而且由于所有*.compute.amazonaws.com 样式的 DNS 名称都是浮动的，并且可以随时重新分配，他们该死的也不会为他们颁发证书。 （顺便说一下，Let's Encrypt 的含义相同：您必须有一个不是由提供商发布的 DNS 名称。）

只需给您的内部服务一个 DNS 名称，可以是 mydashboard.internal.mycompany.com 之类的名称；它也会更容易访问。

【讨论】：

他们该死的也不会给他们发一个 Elastic Load Balancer 的精确默认 DNS 名称也是这样吗，例如 <something>.eu-central-1.elb.amazonaws.com？