0
我想为我的API定制“可信CA”配置。当不使用ELB时,我可以通过在我的Web服务器中配置“ca.pem”文件来实现此目的。但是,使用ELB时,我认为我的Web服务器不会收到原始传入客户端证书(而是ELB的证书)。如何自定义AWS ELB可信认证中心?
是否有可能以某种方式使我的自定义CA即使在ELB后面生效?
A
回答
0
您的实例不仅看不到原始客户端的证书......它实际上并不参与与客户端相同的TLS会话。 ELB Classic和ALB创建两个独立的TLS会话并将其有效载荷捆绑在一起。
要做你想做的事,ELB根本无法参与TLS。它必须全部由您的服务器完成,并且平衡器必须在第4层或更低层操作。这就排除了仅在第7层操作的应用程序负载平衡器。
有两种解决方案。
旧的解决方案是在TCP模式下使用ELB(经典),TLS(SSL)已禁用。 ELB将有效载荷从加密连接盲目地传递到实例,该实例直接与浏览器协商TLS,并因此可以使用其CA文件来验证浏览器。然而,它有点棘手,因为默认情况下你的实例不会看到客户端的IP地址,并且因为ELB运行在第4层模式(更不用说处理它不理解的加密流量),它不能添加X-Forwarded-For标题...因此必须在ELB上启用“代理协议”支持,并且您的实例必须了解如何从代理协议标题中提取客户端地址。
较新的解决方案是第三种平衡器,称为Network Load Balancer。此服务在第3层运行,并允许您 - 实质上 - 将单个弹性IP地址映射到多个EC2实例,以平衡特定端口上的传入请求,并进行运行状况检查以消除旋转中不健康的实例。您的实例仍然负责处理所有 TLS本身,但他们将在传入连接上看到客户端地址。
相关问题
- 1. AWS自定义授权者IAM认证
- 2. 将自定义标头添加到Amazon AWS ELB响应
- 3. Cloudflare使用AWS ELB的AWS ELB
- 4. 自定义Spring Security认证
- 5. AWS Cloudwatch:如何从AWS Elastic Beanstalk获取自定义指标
- 6. 使用AWS cognitos自定义功能的多因素认证
- 7. 如何自定义服务凭据信息中心
- 8. AWS SSL证书错误 - ELB/Wordpress/Apache2/Ubuntu
- 9. 自定义Laravel认证中间件
- 10. 如何在自动缩放组中添加aws new elb
- 11. 自动将HTTP重定向到AWS中的HTTPS ELB
- 12. 如何在Meteor中创建自定义用户认证?
- 13. 如何在RemoteUserBackend认证过程中自定义用户
- 14. ASP.NET核心 - 自定义模型验证
- 15. AWS ELB是否自行处理HA?
- 16. AWS Cloudformation:Loadbalancer自定义SSL协商策略
- 17. Firebase认证自定义属性失败
- 18. WCF和自定义肥皂认证
- 19. 自定义原则权限认证
- 20. django:自定义令牌认证
- 21. MVC Web API自定义基本认证
- 22. laravel moltin自定义用户认证
- 23. 自定义iOS Twitter认证页面?
- 24. 在Django中自定义默认的认证系统
- 25. 如何自定义moodle核心文件?
- 26. AWS Cloudwatch自定义操作
- 27. 我如何可以验证型猫鼬自定义验证
- 28. 如何通过aws连接到特定端口elb
- 29. nuxt.js - >自定义路线不爱可信如何获得“身份证”
- 30. AWS自定义自动缩放策略