Ssl

VPC 中多個 ELB 上的萬用字元 SSL 證書

  • December 22, 2021

我對證書和 AWS 本身的安裝非常陌生。現在,在我目前的基礎架構中,我有 3 個位於 VPC 中的 ELB。

我通過 Big Rock 從 COMODO 購買了萬用字元 ssl 證書。

我想要的是我的 ELB 和外部世界之間的所有通信都應該通過 HTTPS。

  1. 我怎樣才能做到這一點?
  2. 我可以在所有三個 ELB 上安裝一個萬用字元證書嗎?
  3. 有沒有更好的方法呢?
  4. 此外,由於它是我擁有的萬用字元證書,因此我無法將其用於 api.example.com,但不能用於 example.com 本身(據我了解)。但是,外部世界現在可以看到的是 example.com(而不是真正的 api.example.com)那麼我是否需要為上述場景購買另一個證書?
  5. 我應該使用哪種類型的證書(我在此處閱讀了UCC SSL 證書),因為我也有 example.in 作為域以及託管同一站點的域。

請原諒我對此事的無知。

我想要的是我的 ELB 和外部世界之間的所有通信都應該通過 HTTPS。我怎樣才能做到這一點?

完全禁用純 HTTP 通常不是選項,但可以將您的網路伺服器配置為(永久)將任何未加密的請求重定向http://...https://...

我可以在所有三個 ELB 上安裝一個萬用字元證書嗎?

沒有技術原因你不能。

另外,由於它是我擁有的萬用字元證書,因此我無法將其用於api.example.com但不能用於example.com自身(根據我的理解)。

但是,外部世界example.com現在可以看到(而不是真的api.example.com)所以我需要為上述場景購買另一個證書嗎?

是的,萬用字元*.example.com僅適用<valid_hostnames>.example.com 於普通/裸體example.com,也*.*.example.com不會起作用。有關詳細資訊,請參閱此問答

從技術上講,還可以通過主題備用名稱副檔名將普通域與萬用字元證書包括在內,使證書對兩者都有效*.example.com example.com 但我不知道哪些 SSL 經銷商會自動這樣做。因此,您可能根本不需要另一個(替換)證書。

您可以檢查openssl x509 -in certificate.crt -text -nooutwhich 將產生類似於 SubjectAltNames 存在時的內容:

Certificate:
   Data:
       Version: 3 (0x2)
       Serial Number:
          ....
       Subject: ..., CN=*.example.com
          ...
       X509v3 extensions:
          ...
          X509v3 Subject Alternative Name:
               DNS:*.example.com, DNS:example.com

如果不是這種情況,除了目前的萬用字元之外,您可能還需要另一個證書才能使用裸域。伺服器名稱指示(SNI) 是使用兩個不同的 SSL 證書並讓它們在單個 ELB 實例上正常工作所必需的。

ELB 支持使用 SNI 的多個 TLS 證書 -

ALB 支持使用 SNI 的

多個 TLS 證書 NLB 現在支持使用 SNI 的多個 TLS 證書

引用自:https://serverfault.com/questions/743085