没有自定义域的 AWS 上的 SSL 应用程序负载均衡器
Posted
技术标签:
【中文标题】没有自定义域的 AWS 上的 SSL 应用程序负载均衡器【英文标题】:SSL application load balancer on AWS WITHOUT a custom domain 【发布时间】:2019-10-19 06:31:50 【问题描述】:如果我不想使用自定义域,是否可以为 AWS 上的应用程序负载均衡器提供 SSL 证书,只允许 HTTPS 连接?
目前正在开发一些内部仪表板应用程序,因此不需要/不需要附加到它们的域名。
当我想将域转发添加到 LB 时,我只能在 Cloudformation 中挖掘创建证书的信息和教程。
【问题讨论】:
那么 ssl 证书将针对哪个域颁发? 缺少的是“您如何访问仪表板”。例如,如果您打算执行 foo.com/dashboard 之类的操作,您将依赖 foo.com 上的负载均衡器和/或反向代理来执行正确的路由。如果您打算使用由本地 dns(如 dash.foo.local)管理的非标准域,则必须安装、使用和管理自签名证书。 【参考方案1】:SSL 证书必须具有与其关联的有效 DNS 名称才能正常工作。您需要通过 ACM 请求证书,然后将其附加到 ELB。您可以将 ELB 配置为仅具有 HTTPS 侦听器以强制进行安全通信。
【讨论】:
【参考方案2】:可能不会。
向 IP 地址颁发 SSL 证书通常是不道德的,而且由于所有*.compute.amazonaws.com
样式的 DNS 名称都是浮动的,并且可以随时重新分配,他们该死的也不会为他们颁发证书。 (顺便说一下,Let's Encrypt 的含义相同:您必须有一个不是由提供商发布的 DNS 名称。)
只需给您的内部服务一个 DNS 名称,可以是 mydashboard.internal.mycompany.com
之类的名称;它也会更容易访问。
【讨论】:
他们该死的也不会给他们发一个 Elastic Load Balancer 的精确默认 DNS 名称也是这样吗,例如<something>.eu-central-1.elb.amazonaws.com
?以上是关于没有自定义域的 AWS 上的 SSL 应用程序负载均衡器的主要内容,如果未能解决你的问题,请参考以下文章
没有负载均衡器的 EC2 实例上的 AWS SSL - NodeJS
AWS 应用程序负载均衡器上的 Websocket + SSL
服务器上的 AWS 负载均衡器、静态 IP 和 SSL 终止(不是负载均衡器)
AWS Elastic Beanstalk - NodeJS:在没有 Beanstalk 负载均衡器的情况下从 Letsencrypt 获取证书 SSL