在开始在 AWS 中设置负载平衡器时,我遇到了一些其他问题。
基本上,我在 EC2 实例中部署了一个网站/应用程序。我想通过证书管理器使用 AWS 生成的证书来确保其安全。因为我已经有了理解EC2 本身无法管理这一点,而实现这一点的一个简单方法是在 EC2 前面部署一个负载均衡器,以使用我的 ACM 证书保护客户端通信。
也许很容易,但对我来说不是......
问题 1:由于我不想部署多个 EC2 实例,因此我需要部署“经典负载均衡器”而不是“应用程序负载均衡器”(因为后者至少需要 2 个 EC2 实例)。这样对吗?
问题 2:我希望网站访问者在浏览器中获得“安全”指示。我猜这意味着我需要使用 HTTPS一路客户端 <-> 负载均衡器 <-> EC2,并且无法终止 LB 中的 SSL/HTTPS。这是正确的假设吗?
问题 3:如果先前的假设是正确的,那么我是否应该使用另一个证书来进行负载均衡器和 EC2 之间的 HTTPS 通信?据我所知,我在 ACM 中拥有的证书无法使用。正确的方法是生成一个新的,私人证书在 ACM 中如何使用这个?
问题 4:如果是这样,私人证书是否仍会为最终用户带来完全签名证书的好处,还是会被视为自签名证书(我不想要)?
问题 5:也许完全错误(并且显示我对证书的了解程度;-),但由于我已经在 ec2 实例上拥有另一个 ssh 证书(来自我的 IAM 用户,我使用它来 ssh 到 ec2 实例),这个证书可以在负载均衡器<-> EC2 步骤中使用吗?
好的,至少现在我就这么想...谢谢!
更新 感谢这些有用的答案,我终于解决了这个问题,而且比我写原始问题时想象的要容易得多。我刚刚使用我的 ACM 证书启动了一个带有 http 和 https 侦听器的“应用程序负载均衡器”,保留了所有默认选项。在我的外部 DNS 中将 CNAME 条目添加到我的负载均衡器的 DNS 名称中,SSL 就可以正常工作了。
答案1
您可以直接在 EC2 实例上使用 Let's Encrypt 证书或任何其他证书。但您不能使用 ACM 证书。这样就无需使用负载均衡器。我有一个简短的教程这里。
回答你的问题
我认为 ALB 不需要多个 EC2 实例,一个就足够了。
如果设置正确,您可以在负载均衡器上终止 HTTPS,浏览器仍会显示连接是安全的。这通常适用于大多数工作负载,因为 AWS 内部网络被认为是值得信赖且安全的。
您可以使用任何其他类型的证书进行端到端加密。
您必须检查自签名证书是否适用于 ALB。鉴于 Let's Encrypt 是免费且易于使用的,我不明白您为什么要费心。
不,它们是不同类型的证书。
答案2
直接回答你的问题:不,当您的负载均衡器终止 SSL 时,您不需要 EC2 服务器上的 SSL 证书。但是您可以,它可以是任何有效的 SSL 证书,甚至是自签名证书。ALB 会接受它。
不,你不需要两个 EC2 实例在ALB后面,一个EC2就足够了。
不,你不能使用SSH 证书作为 HTTP SSL 证书,它们具有不同的结构。
希望有帮助:)