VPC 中多个 ELB 上的通配符 SSL 证书

VPC 中多个 ELB 上的通配符 SSL 证书

我对证书和 AWS 本身的安装非常陌生。现在,在我当前的基础设施中,我有 3 个位于 VPC 中的 ELB。

我已经通过 Big Rock 从 COMODO 购买了通配符 SSL 证书。

我希望我的 ELB 与外部世界之间的所有通信都应通过 HTTPS 进行。

  1. 我怎样才能实现这个目标?
  2. 我可以在所有三个 ELB 上安装一个通配符证书吗?
  3. 有没有更好的方法呢?
  4. 此外,由于我拥有的是通配符证书,因此我无法将其用于 api.example.com,但也不能用于 example.com 本身(根据我的理解)。但是,目前外部世界可见的是 example.com(而不是真正的 api.example.com)。那么,我是否需要为上述场景购买另一个证书?
  5. 哪种类型的证书(我读过UCC SSL 证书在这里)我应该选择哪个,因为我也有一个 example.in 域名,并且托管着同一个网站。

请原谅我对此事的无知。

答案1

我希望我的 ELB 与外部世界之间的所有通信都应通过 HTTPS 进行。我该如何实现这一点?

完全禁用纯 HTTP 通常不是一种选择,但可以配置你的网络服务器以(永久)将任何未加密的请求从重定向http://...https://...

我可以在所有三个 ELB 上安装一个通配符证书吗?

没有任何技术原因导致您无法做到这一点。

此外,由于我拥有的是通配符证书,因此我无法使用它,api.example.com但不能使用它example.com本身(根据我的理解)。但是,目前
外部世界可以看到的是(实际上不是)那么我是否需要为上述场景购买另一个证书?example.comapi.example.com

是的,通配符*.example.com仅适用于<valid_hostnames>.example.com ,不适用于 plain/naked,example.com也不*.*.example.com适用。请参阅此问答了解详情。

从技术上讲,也可以通过主题备用名称扩展将普通域名包含在通配符证书中,从而使证书对两者都有效*.example.com example.com 但我不知道哪些 SSL 经销商会自动执行此操作。因此,您可能根本不需要另一个(替换)证书。

你可以检查一下,openssl x509 -in certificate.crt -text -noout当有 SubjectAltNames 时,会产生类似的结果:

Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
           ....
        Subject: ..., CN=*.example.com
           ...
        X509v3 extensions:
           ...
           X509v3 Subject Alternative Name:
                DNS:*.example.com, DNS:example.com

如果不是这种情况,您可能还需要另一个证书才能除了当前的通配符之外使用裸域。服务器名称指示(SNI)是使用两个不同的 SSL 证书并使其在单个 ELB 实例上正常工作所必需的。

ELB 使用 SNI 支持多个 TLS 证书 -
ALB 使用 SNI 支持多个 TLS 证书
NLB 现在使用 SNI 支持多个 TLS 证书

答案2

如果通配符 SSL 证书颁发给 *.example.com,那么您可以使用单个通配符 SSL 证书保护 example.com、api.example.com 和任何其他子域。Comodo Wildcard SSL 提供无限的服务器许可证,您应该在所有 3 个 ELB 上安装证书,以在子域上设置安全环境。

如果您想要保护引用不同 TLD 的不同域名,例如 example.com、example.in 和 example.anytld,那么您应该使用 UCC SSL 证书。您可以在证书有效期内随时添加或编辑主题备用名称 (SAN)。

如果你的要求是保护多个网站及其所有子域,那么你可以选择Comodo 多域名通配符 SSL

相关内容