我在 ELB 后面有一个 EC2 实例 (amazon linux)。我已经配置了免费的 Amazon SSL 证书,但现在我想知道我是否需要在我的服务器上安装该证书,就像我对旧的第三部分证书所做的那样,Amazon 是否会做一些神奇的事情,这意味着我不再需要这样做。
如果是这样,这对我安装的旧证书、虚拟托管环境以及特别是我的 ssl.vhosts.conf 和 vhosts.conf 文件有何影响?
答案1
亚马逊证书管理器上的证书是免费的,因为它们与亚马逊的生态系统绑定。您无法访问用于创建证书的私钥,也无法从 ACM 导出它。
他们在这里要实现的关键概念是,您在负载均衡器上使用 ACM 证书,并让负载均衡器使用未加密的 HTTP 将流量转发到您的服务器。这样,您的服务器就无需担心或担心实施 SSL。您可以关闭所有这些功能,只需像在 HTTP 上运行网站一样处理您的托管即可。
如果您确实需要知道访问者使用的是 HTTP 还是 HTTPS(以防您需要重定向他们),ELB 会在它向用户发出的请求中向您的服务器发送几个 HTTP 标头。其中之一是X-Forwarded-Proto。它被设置为 或http,https您可以在 Apache/nginx 配置或应用程序代码中检查它并采取相应措施。
答案2
由于证书位于负载均衡器上,因此 HTTP 应用程序不需要知道它。