Сквозное шифрование AWS Classic Load Balancer

Можно ли настроить AWS Classic Balancer для работы примерно так:

Клиент ‹- SSL (Подписанный сертификат) -> ELB‹ - SSL (Самоподписанный сертификат) -> EC2

Глядя на конфигурации слушателя, похоже, что между слушателем и сертификатом, который он использует, существует взаимно однозначная связь.

Если кто-нибудь знает, как я могу этого добиться, то ссылка на документацию также будет полезна.


amazon-web-services amazon-ec2 elastic-load-balancer
person Jesse    schedule 06.12.2017    source источник

Ответы (1)


arrow_upward
1
arrow_downward

Вы можете создать балансировщик нагрузки, который прослушивает порты HTTP (80) и HTTPS (443). Если вы укажете, что прослушиватель HTTPS отправляет запросы экземплярам через порт 80, подсистема балансировки нагрузки завершает запросы, и обмен данными от подсистемы балансировки нагрузки к экземплярам не шифруется. Если прослушиватель HTTPS отправляет запросы экземплярам на порт 443, связь от балансировщика нагрузки с экземплярами зашифровывается.

Создайте классический балансировщик нагрузки с прослушиватель HTTPS

person John Hanley    schedule 06.12.2017
comment
Вот как я сейчас все настроил. Однако я спрашиваю, можно ли использовать Classic Load Balancer для завершения ssl, когда он получает запрос, а затем использовать другой сертификат для шифрования соединения между собой и экземпляром EC2. Если прослушиватель HTTPS отправляет запросы экземплярам на порт 443, связь от балансировщика нагрузки с экземплярами зашифровывается. - Зашифровано как? Я не могу найти никакой информации по этому поводу. (изменить: использует ли он для этого инфраструктуру открытых ключей Amazon?) - person Jesse; 07.12.2017
comment
Обмен данными между ELB и экземпляром EC2 зашифрован с использованием сертификата, который вы установили на экземпляре EC2. Точно так же, как веб-браузер взаимодействует с веб-экземпляром с помощью SSL (TLS). В ELB - ›EC2 ELB является клиентом, EC2 - сервером. - person John Hanley; 07.12.2017
comment
Значит, невозможно сделать то, о чем я просил выше? Как вы можете настроить прослушиватель только с одним сертификатом с помощью Classic Load Balancer? - person Jesse; 07.12.2017
comment
Ответ - нет. Протокол HTTP для веб-серверов не поддерживает то, что вы предлагаете. Есть случай аутентификации клиента, когда клиент также предоставляет свой сертификат веб-серверу (для аутентификации), но это не поддерживается ELB. - person John Hanley; 07.12.2017
comment
@Jesse Я не уверен, что вы двое ведете один и тот же разговор. Да, вы можете делать то, что изображено выше. Слушателю не нужен сертификат, обращенный к экземпляру, точно так же, как веб-браузеру не нужен сертификат. Если прослушиватель настроен для HTTPS по отношению к экземпляру, трафик внутри шифруется, а SSL согласовывается между балансировщиком и экземпляром с использованием сертификата экземпляра. Вы также можете требовать чтобы серверная часть использовала правильный сертификат. - person Michael - sqlbot; 07.12.2017
comment
@ Майкл-sqlbot. Возможно, вы правы, но в части комментариев у меня сложилось впечатление, что Джесси хочет установить еще один сертификат на приемнике ELB для шифрования между ELB и EC2. Мои комментарии заключаются в том, что сертификат устанавливается на EC2 в типичном серверном режиме. - person John Hanley; 07.12.2017
comment
Да, и то, что вы говорите, правильно - когда слушатель настроен для SSL на задней стороне, это сквозное шифрование. Лицевой сертификат не используется на оборотной стороне, поскольку ELB является клиентом и не требует сертификата. Я подозреваю, что путаница возникает из-за связывания сертификата со слушателем, который интерпретируется как обращенный в обе стороны, тогда как он смотрит только наружу. - person Michael - sqlbot; 07.12.2017
comment
@ Michael-sqlbot, вы на 100% правы в моем замешательстве (я думал, что слушатель будет настроен в обоих направлениях с одним и тем же сертификатом), вы прояснили это для меня, спасибо! - person Jesse; 07.12.2017