我开始为我的服务器池设置 Amazon 的 Elastic Load Balancing 服务,并且需要设置 HTTPS/SSL。我已经设置了所有 SSL 证书,但随后我进入后端身份验证步骤,我不确定“后端身份验证”需要什么证书。
这是我的站点私钥、公钥,还是我需要在服务器上生成新密钥?
感谢您的帮助。
答案1
前面的答案并不是100%准确的。
后端身份验证实际上的作用是确保后端服务器报告的公钥(当 ELB 通过 HTTPS/SSL 与您的服务器通信时)与您提供的公钥匹配。这将阻止某人将恶意服务器连接到您的 ELB,或减轻某人劫持 ELB 和您的服务器之间的流量。
后端身份验证不会考虑客户端(例如浏览器)是否通过 HTTPS/SSL 与您的 ELB 通信。您可以让 ELB 通过 HTTP 与客户端通信,同时通过 HTTPS/SSL 与后端服务器通信。这只能确保 ELB 与您的服务器之间的通信是安全的,而不能确保客户端连接是安全的。
总之
只要您的 ELB 通过 HTTPS 与后端实例通信,该流量就会被加密,尽管它可能会被劫持。后端身份验证有助于防止该流量被劫持。
为什么不使用后端身份验证?
性能。启用后端身份验证后,我们发现通过 ELB 进行通信时响应时间增加了约 50-70 毫秒(所有其他 HTTPS 均已启用)。
答案2
后端身份验证确保往返于实例、负载均衡器和客户端的所有流量都将被加密。
我自己在设置过程中遇到了一些麻烦,但经过一番挖掘,我找到了Elastic Load Balancing 开发人员指南, 看使用 SSL 密码设置和后端服务器身份验证创建负载均衡器- 特别是,你可能想了解如何通过以下方式实现这一点使用 AWS 管理控制台,为所涉及的各个主题提供了有用的演练和插图。