我在 EC2 上有一个 Tomcat 服务器,带有应用程序负载均衡器,需要提供 TLS 加密。 Tomcat 迎合了在我的自定义域上打开的应用程序,比如
www.mydomain.com/somebusiness
。
因此,我在 ELB 上安装了 AWS 提供的证书,但从端口 443 到 Tomcat 服务器的流量无法由 AWS 证书提供服务。这意味着我需要为 Tomcat 单独提供另一个证书。我尝试使用自行生成的证书,但不断收到
“您的连接不是私密的,攻击者可能试图从......窃取您的信息”。
这让我去寻找 CA 签名的证书,希望它能解决问题。
对我来说真正的问题从这里开始。我的证书是为 www.mydomain.com
颁发的,并且我在负载均衡器上安装了该证书,该负载均衡器仍然具有 DNS 名称 https://blappity.amazon.aws.com
。从技术上讲,我的证书现在因域名不匹配而拒绝此操作。
最重要的是,出于不可避免的原因,我无法为我的负载均衡器提供自定义 DNS 名称,这对我来说消除了 Route 53 选项。
此时将自定义域与 ELB 保持一致的最佳方法是什么?
这通常通过SSL 卸载进行管理。
长话短说:您在 ALB 上处理 SSL,它暴露在互联网上,并通过 HTTP(不安全)与您的 EC2 实例进行通信。
此实例不暴露于互联网,但只能通过特定安全组规则与您的 ALB 通信。
通过这种方式,您可以将域的 DNS 指向 ALB 的 EIP(或者,如果您使用 Route53,则指向 ALB 别名)。
更多详细信息和分步指南: