为什么Elastic Beanstalk负载均衡器拒绝建立SSL连接?

问题描述 投票:1回答:1

最近,我开始搜索安全程序并遇到了SSL。实际上,我已经了解了SSL,但当时发现它太贵了。幸运的是,昨天我发现亚马逊免费提供SSL证书!但是,我花了整整一天试图设置它,但它没有用。

我在GoDaddy注册了一个域名,让我们假设它是www.mydomain.com。但是,我的网站托管在亚马逊网络服务(AWS)上。我还可以编辑GoDaddy的DNS记录和对我的AWS账户的完全访问权限。我见过LetsEncrypt,但我的网站运行在ASP.NET(IIS Windows)中,目前它们只支持Linux操作系统。

这是我试图做的事情:

  1. 从AWS Certificate Manager获取SSL证书 我选择通过DNS设置,这意味着我必须向GoDaddy域记录添加CNAME记录。 如果您仔细查看两张图片,则AWS上的CNAME记录位于页面的中心。我添加了一条包含值的CNAME记录。
  2. 将HTTPS添加到Load Balancer侦听器:
  3. 在安全组上允许HTTPS NOT:入站和出站规则都如上所述。我还设置了Load Balancer和我的运行实例来使用此安全组。
  4. 为Route 53 Hosted Zones添加了记录 A类型记录指向我的实例IP。 NS记录由亚马逊生成(我还添加了GoDaddy的名称服务器)。 SOA记录是由亚马逊生成的,我没有触及它。 CNAME是我添加的,它又是SSL协议。

我不知道还能做什么,或者我的设置是否错误。

amazon-web-services ssl dns elastic-beanstalk elastic-load-balancer
1个回答
1
投票

如果我没弄错的话,你有一个ELB实例(经典/应用程序/ NLB),请求已成功发布* .mydomain.com的ACM证书,创建HTTPS侦听器以使用SSL证书但获得连接在443港口超时。

问题是mydomain.com的DNS记录仍然指向EC2实例的IP,它可能没有侦听端口443(并且根本没有使用ELB)。

所以,要解决这个问题,你必须使用ELB's DNS name and use it as CNAME in your DNS record(不确定是否在Route 53或GoDaddy,因为我不知道哪个是权威的NS)。

此外,您可以考虑使用mydomain.com和* .mydomain.com请求新证书并更新侦听器,因为带有* .mydomain.com的ACM证书不保护mydomain.com。

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.