我目前正在升级我公司的应用程序基础架构。
我们从拥有基本的基础设施开始 - 一个EC2实例,这是我们链接到RDS,MySQL数据库的Web服务器。
新基础设施需要一个 VPC,其中包含 2 个公有子网和 EC2 实例和 2 个用于数据库的私有子网。
因此,这就是我所做的,我从现有的 EC2 实例创建了一个映像,该实例中安装了 SSL 证书并且与域名匹配。
从该图像中,我启动了 2 个新 AMI 并添加了负载均衡器。现在整个基础设施已经设置好,但现在的问题来了 - 将负载均衡器的 DNS 指向移动应用程序(通过 API)后,出现了一个错误,
javax.net.ssl.SSLException:证书中的主机名不匹配:!= OR OR 03-10 13:41:23.641 29743-30234/example.hr W/System.err: at org.apache.http.conn.ssl.AbstractVerifier.verify(AbstractVerifier.java:190) 03-10 13:41:23.641 29743-30234/example.hr W/System.err: at org.apache.http.conn.ssl.BrowserCompatHostnameVerifier.verify(BrowserCompatHostnameVerifier.java:59)
据我了解,我必须将负载均衡器 DNS 添加到根域(可以做到,但我们不能放下现有服务器)。这样行得通吗?我可以做到,但域服务提供商需要一段时间才能将其添加为 CNAME 记录(因为它是 .hr 域,因此它是受控的,有些记录不容易添加。完成需要一天多的时间)
其次,如果我要在负载均衡器级别添加 SSL 证书,它是否会在实例级别与 SSL 证书产生冲突?
我还在考虑获取一个新域并在实例级别进行配置,这将是一个麻烦。有没有其他选择?
在负载均衡器上终止安全连接并在后端使用 HTTP 可能足以满足您的应用程序需求。但是,如果您正在开发需要遵守严格的外部法规(例如:HIPPA 证书)的应用程序,则可能需要保护所有网络连接。
ELB 执行 SSL 卸载/终止。负载均衡器使用证书终止连接,然后在将来自客户端的请求发送到实例之前对其进行解密,然后实例可以使用自签名证书。
裁判:
弹性负载均衡器 SSL 支持选项
经典 ELB HTTPS 侦听器