在EC2和負載均衡器上安裝SSL

Question

我在AWS中的Application ELB后面有一個ec2實例。 我想將SSL應用於ec2實例以及loadbalancer。 對於ec2實例，我購買了ssl並安裝了它並且工作正常。 對於負載均衡器，我將使用免費的AWS ACM證書並將其安裝在負載均衡器上。 這有什么問題嗎？ 即在兩個地方ec2和elb上安裝SSL。

Answer 1

如果您在ELB上使用SSl / TSL，它將處理HTTPS連接的加密/解密（釋放您的EC2實例的CPU以執行其他工作）。

如果為后端使用HTTPS / SSL連接，則可以在后端實例上啟用身份驗證。 此身份驗證可用於確保后端實例僅接受加密通信，並確保后端實例具有正確的證書。

在ELB和后端上使用SSL / TLS可能會產生問題，因為ELB HTTPS偵聽器不支持客戶端SSL證書。 我認為您使用的是雙向SSL（相互或客戶端身份驗證）

Answer 2

它不會有任何問題，但確實有一個警告。 Application Load Balancer （ALB）的流量將被加密， ACM證書將由客戶端驗證。 來自ALB的主機流量也將被加密，但主機上的證書將不會被驗證。

根據以下參考資料，ALB后端身份驗證似乎在AWS的路線圖上。 在撰寫第一個參考文獻的AWS工程師的引用中總結了它不是優先考慮的原因：

服務器證書在TLS中扮演的角色是對服務器進行身份驗證，以使其無法模擬或MITM。 ALB僅在我們的Amazon VPC網絡上運行，這是一個軟件定義網絡，我們在數據包級別封裝和驗證流量。

這樣做的好處是，您可以在主機上使用自簽名證書，以便在前面使用ALB或ELB時節省資金。

如果您需要確保主機上的證書有效，則可以使用Classic Elastic Load Balancer （ELB）。 有關詳細信息，請參閱參考。

參考

AWS ALB驗證TLS答復

AWS ELB配置后端身份驗證