正如标题所述,我希望为 Amazon AWS 中的多个实例拥有一个 SSL 证书。多个实例通过负载均衡器连接到互联网。为了制作 SSL 证书并将其与负载均衡器一起使用,我创建了这篇文章:http://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/ssl-server-cert.html。
我读了这篇文章,如果我理解正确的话,用户连接到持有证书的负载均衡器。然后负载均衡器解密流量并将其发送到适当的实例。如果我错了,请纠正我!
我不记得我在哪个网站上看到过,但上面说你永远不能依赖负载均衡器的 IP 地址(因为它可能会变化)。如果这是事实,那么证书如何存在于负载均衡器上?SSL 证书也依赖于主机的 IP 地址,对吧(除了主机名)?如果我错了,请再次纠正我!!
所以,要么是我没有正确地回忆起最后一部分,要么是亚马逊在这里做了一些非常有趣的事情?任何帮助都非常感谢!
PS,我不是问如何设置负载均衡器或如何在负载均衡器上安装 SSL 证书。
答案1
SSL 证书也依赖于主机的 IP 地址,对吗(除了主机名)?
不,只有主机名(“DNS 名称”)与 X.509 证书和应用层相关。此类证书有一个名为的字段,Common Name (CN)
其中包含域名(该域名也会出现在浏览器的地址栏中)。浏览器使用提供的证书链及其本地受信任 CA 存储来验证证书,并将通用名称与浏览器连接到的域进行比较。如果一切正常,则连接是安全的。
IP 地址与传输层建立从您的 PC 到目的地(域解析为 IP)的连接有关。基于此连接,将建立包括证书在内的 TLS 连接。
因此,TLS 连接结束的所有可能的负载均衡器都必须持有证书(和相应的私钥)。
1已经进行了更多检查,但这些检查与您的问题相关。