Cloudfront, ELB и SSL

Если я использую Cloudfront, чтобы сидеть перед веб-сервером, который, в свою очередь, находится за ELB, применимо ли следующее?

  • Я использую Route53 для создания записи доменного имени для домена CF и применяю сертификат SSL к этому домену для защиты распространения.

  • Если CF не может обслуживать контент из кеша, тогда SSL-соединение пересылается на ELB (который выступает перед веб-сервером в качестве исходного сервера).

  • Поэтому мне также нужно использовать то же доменное имя (FQDN) на ELB (через Route53 CNAME) и применять там тот же сертификат?

  • Когда CF пересылает запрос через ELB, SSL прерывается. Верно? Достаточно ли одного сертификата FQDN или лучше использовать подстановочный знак? Лучше использовать вместо этого доменное имя исходного сервера?

Поскольку теперь я могу использовать новый инструмент диспетчера сертификатов AWS (ACM) для добавления этих сертификатов, знает ли кто-нибудь, требует ли CF по-прежнему стоимость использования настраиваемого сертификата SSL при использовании ACM (что делает CF дорогостоящим сервисом AWS)?


amazon-web-services amazon-elb amazon-cloudfront
person JoeShmoe    schedule 02.02.2016    source источник

Ответы (1)


arrow_upward
15
arrow_downward

Если CF не может обслуживать контент из кеша, тогда SSL-соединение пересылается на ELB (который выступает перед веб-сервером в качестве исходного сервера).

SSL-соединение не "пересылается". Между CloudFront и ELB устанавливается новое SSL-соединение.

SSL-соединение между пользователем и CloudFront полностью отличается от соединения между CloudFront и ELB. Следовательно, нет требований по совпадению доменных имен, используемых на ELB и CloudFront.

Поэтому мне также нужно использовать то же доменное имя (FQDN) на ELB (через Route53 CNAME) и применять там тот же сертификат?

Единственное ограничение - сертификат SSL на ELB должен совпадать с доменным именем, используемым на ELB. Это может быть другой сертификат SSL и доменное имя, чем те, которые используются в CloudFront.

Если вы хотите использовать функцию «Пользовательский SSL» и поддерживать «всех клиентов», а не только тех, которые поддерживают SNI, то да, вы все равно должны платить дополнительные сборы, даже если вы используете ACM.

Пример 1

Вы можете создать записи Route 53 для www.domain.com и origin.domain.com, а также сертификат SSL для * .domain.com. Из них вы должны назначить www.domain.com для распространения CloudFront, origin.domain.com для вашего ELB и использовать сертификат с подстановочными знаками для обоих.

Пример 2

Вы можете создать записи Route 53 для www.domain.com и origin.domain.com и отдельные сертификаты SSL для www.domain.com и origin.domain.com. Из них вы должны назначить www.domain.com раздаче CloudFront с помощью сертификата www.domain.com, а origin.domain.com - своему ELB с помощью сертификата origin.domain.com.

Пример 3

Вы можете создать записи Route 53 для www.domain1.com и origin.domain2.com и отдельные сертификаты SSL для www.domain2.com и origin.domain2.com. Из них вы должны назначить www.domain2.com раздаче CloudFront, используя сертификат www.domain2.com, и origin.domain2.com, своему ELB, используя сертификат origin.domain2.com.

person Matt Houser    schedule 02.02.2016
comment
Большое спасибо, так что я на 100% ясно, что я мог бы создать подходящее доменное имя для сайта, создать сертификат AWS через ACM и использовать один и тот же сертификат для CF и ELB? При условии, что я создал правильные записи DNS в Route53 (CName и A-запись). Когда вы говорите об ограничении доменного имени ELB, я предполагаю, что это не доменное имя, которое AWS дает вам для ELB, а подходящий псевдоним? - person JoeShmoe; 02.02.2016
comment
Я добавил примеры. - person Matt Houser; 02.02.2016