没有自定义域的 AWS 上的 SSL 应用程序负载均衡器

Posted

技术标签:

【中文标题】没有自定义域的 AWS 上的 SSL 应用程序负载均衡器【英文标题】:SSL application load balancer on AWS WITHOUT a custom domain 【发布时间】:2019-10-19 06:31:50 【问题描述】:

如果我不想使用自定义域,是否可以为 AWS 上的应用程序负载均衡器提供 SSL 证书,只允许 HTTPS 连接?

目前正在开发一些内部仪表板应用程序,因此不需要/不需要附加到它们的域名。

当我想将域转发添加到 LB 时,我只能在 Cloudformation 中挖掘创建证书的信息和教程。

【问题讨论】:

那么 ssl 证书将针对哪个域颁发? 缺少的是“您如何访问仪表板”。例如,如果您打算执行 foo.com/dashboard 之类的操作,您将依赖 foo.com 上的负载均衡器和/或反向代理来执行正确的路由。如果您打算使用由本地 dns(如 dash.foo.local)管理的非标准域,则必须安装、使用和管理自签名证书。 【参考方案1】:

SSL 证书必须具有与其关联的有效 DNS 名称才能正常工作。您需要通过 ACM 请求证书,然后将其附加到 ELB。您可以将 ELB 配置为仅具有 HTTPS 侦听器以强制进行安全通信。

【讨论】:

【参考方案2】:

可能不会。

向 IP 地址颁发 SSL 证书通常是不道德的,而且由于所有*.compute.amazonaws.com 样式的 DNS 名称都是浮动的,并且可以随时重新分配,他们该死的也不会为他们颁发证书。 (顺便说一下,Let's Encrypt 的含义相同:您必须有一个不是由提供商发布的 DNS 名称。)

只需给您的内部服务一个 DNS 名称,可以是 mydashboard.internal.mycompany.com 之类的名称;它也会更容易访问。

【讨论】:

他们该死的也不会给他们发一个 Elastic Load Balancer 的精确默认 DNS 名称也是这样吗,例如 <something>.eu-central-1.elb.amazonaws.com

以上是关于没有自定义域的 AWS 上的 SSL 应用程序负载均衡器的主要内容,如果未能解决你的问题,请参考以下文章

没有负载均衡器的 EC2 实例上的 AWS SSL - NodeJS

AWS 应用程序负载均衡器上的 Websocket + SSL

AWS - 负载均衡器上的 SSL/HTTPS

服务器上的 AWS 负载均衡器、静态 IP 和 SSL 终止(不是负载均衡器)

AWS Elastic Beanstalk - NodeJS:在没有 Beanstalk 负载均衡器的情况下从 Letsencrypt 获取证书 SSL

AWS EC2应用程序负载均衡器+双向SSL?