1
2
在负载平衡器的80和443上都有一个侦听器。443上的侦听器具有ACM证书。 你还说,每个听众都有一个目标群体——一个是80岁的健康群体,另一个是443岁的健康群体。 简单的答案是为两个听众使用一个目标群体。这样,如果最终用户使用443,那么与他们的连接是安全的,并且只有ALB和实例之间的内部通信使用HTTP。这样,运行状况检查将成功,您的用户将能够使用该站点。 但这并不是大多数人真正想要的——他们想要端到端的安全性,而且很可能他们想要从端口80重定向到443。 要强制所有人使用443,您需要在apache配置中使用重定向规则来检查传入连接是否安全。由于SSL在ALB上终止,因此需要检查其中一个X-Forwarded标头值(请参阅 this )如果X-Forward-Port为80,则重定向。 为了确保端到端通信安全,您可以将侦听器配置为在端口443而不是端口80上侦听。您可以使用自签名证书来实现这一点,我相信Linux的某些版本附带了默认证书。ALB不会进行证书验证。 编辑: 在一条评论中,有一个关于将重写代码放在哪里的问题:
如果您只有一个条目,那么这应该是可行的。如果端口80和443有单独的条目,并且使用的是具有不同侦听器的自签名证书,则需要将其放入端口80虚拟主机条目中。 |
2
0
我最终没有使用AWS证书管理器,因为要使其正常工作,必须克服一些障碍。 相反,我找到了一个免费提供SSL证书的好资源- LetsEncrypt . 由于易于使用,我强烈建议每个人使用此解决方案。此外,他们似乎得到了许多知名公司的支持。 |
murty · AWS ELB不安全响应 6 年前 |
Shorn · AWS应用程序负载平衡器实际上支持压缩吗? 6 年前 |
dr_dino · 定制/架构AWS ELB以实现零停机时间 7 年前 |
mrks_ · EC2实例上的安全REST服务器 7 年前 |
Jonathas Hortense · 负载平衡器监视喘振队列长度 7 年前 |