VPC 中多個 ELB 上的萬用字元 SSL 證書
我對證書和 AWS 本身的安裝非常陌生。現在,在我目前的基礎架構中,我有 3 個位於 VPC 中的 ELB。
我通過 Big Rock 從 COMODO 購買了萬用字元 ssl 證書。
我想要的是我的 ELB 和外部世界之間的所有通信都應該通過 HTTPS。
- 我怎樣才能做到這一點?
- 我可以在所有三個 ELB 上安裝一個萬用字元證書嗎?
- 有沒有更好的方法呢?
- 此外,由於它是我擁有的萬用字元證書,因此我無法將其用於 api.example.com,但不能用於 example.com 本身(據我了解)。但是,外部世界現在可以看到的是 example.com(而不是真正的 api.example.com)那麼我是否需要為上述場景購買另一個證書?
- 我應該使用哪種類型的證書(我在此處閱讀了UCC SSL 證書),因為我也有 example.in 作為域以及託管同一站點的域。
請原諒我對此事的無知。
我想要的是我的 ELB 和外部世界之間的所有通信都應該通過 HTTPS。我怎樣才能做到這一點?
完全禁用純 HTTP 通常不是選項,但可以將您的網路伺服器配置為(永久)將任何未加密的請求重定向
http://...
到https://...
我可以在所有三個 ELB 上安裝一個萬用字元證書嗎?
沒有技術原因你不能。
另外,由於它是我擁有的萬用字元證書,因此我無法將其用於
api.example.com
但不能用於example.com
自身(根據我的理解)。但是,外部世界
example.com
現在可以看到(而不是真的api.example.com
)所以我需要為上述場景購買另一個證書嗎?是的,萬用字元
*.example.com
僅適用<valid_hostnames>.example.com
於普通/裸體example.com
,也*.*.example.com
不會起作用。有關詳細資訊,請參閱此問答。從技術上講,還可以通過主題備用名稱副檔名將普通域與萬用字元證書包括在內,使證書對兩者都有效
*.example.com
,example.com
但我不知道哪些 SSL 經銷商會自動這樣做。因此,您可能根本不需要另一個(替換)證書。您可以檢查
openssl x509 -in certificate.crt -text -noout
which 將產生類似於 SubjectAltNames 存在時的內容:Certificate: Data: Version: 3 (0x2) Serial Number: .... Subject: ..., CN=*.example.com ... X509v3 extensions: ... X509v3 Subject Alternative Name: DNS:*.example.com, DNS:example.com
如果不是這種情況,除了目前的萬用字元之外,您可能還需要另一個證書才能使用裸域。伺服器名稱指示(SNI) 是使用兩個不同的 SSL 證書並讓它們在單個 ELB 實例上正常工作所必需的。
ELB 支持使用 SNI 的多個 TLS 證書 -