Preciso de um certificado SSL no meu servidor EC2 mesmo quando tenho um balanceador de carga?

2

Começando a configurar um Load Balanser na AWS, encontrei algumas perguntas adicionais.

Basicamente, tenho um site / aplicativo implantado em uma instância do EC2. Eu gostaria de torná-lo seguro usando um certificado gerado pela AWS através do Gerenciador de certificados. Como eu já tenho entendi que o EC2 não pode gerenciar isso e uma maneira fácil de ativá-lo seria implantar um Balanceador de Carga na frente do EC2 que protege a comunicação do cliente com meu certificado ACM.

Talvez seja fácil, mas não para mim ...

PERGUNTA 1: Como não desejo implantar várias instâncias do EC2, preciso implantar um "Balanceador de Carga Clássico" em vez de um "Balanceador de Carga de Aplicativo" (já que este último exige pelo menos duas instâncias do EC2). Está correto?

PERGUNTA 2: Eu quero que os visitantes do site recebam a indicação "segura" em seus navegadores. Eu suponho que isso significa que eu preciso usar HTTPS todo o caminho cliente < - > Balanceador de carga < - > EC2, e não pode terminar o SSL / HTTPS no LB. Esta é uma suposição correta?

PERGUNTA 3: Se a suposição anterior estiver correta, devo usar outro certificado para a comunicação HTTPS entre o Load Balancer e o EC2? Afaiu o que eu tenho no ACM não pode ser usado. A maneira correta seria gerar um novo certificado particular no ACM para usá-lo?

PERGUNTA 4: Em caso afirmativo, um certificado particular ainda daria ao usuário final o benefício de um certificado totalmente assinado, ou seria visto como um certificado auto-assinado (que eu não quero)?

PERGUNTA 5: Talvez totalmente errado (e mostrando o quanto eu realmente sei sobre certifiates ;-) mas desde que eu já tenho outro certificado ssh (do meu usuário do IAM, que eu uso para ssh para a instância do ec2) no ec2 Por exemplo, este poderia ser usado no Load Balancer < - > Passo EC2?

Ok, isso é tudo que eu penso, pelo menos por enquanto ... Obrigado!

UPDATE Graças às respostas úteis, consegui que isso funcionasse e foi mais fácil do que eu pensava ao escrever a pergunta original. Acabei de lançar um "Balanceador de Carga de Aplicativo" com http e um ouvinte https com meu certificado ACM, mantendo todas as opções padrão. Adicionando uma entrada CNAME no meu DNS externo ao nome DNS do meu loadbalancer e o SSL funciona muito bem.

    
por jola 15.10.2018 / 19:18

2 respostas

4

Você pode usar um certificado Let's Encrypt ou qualquer outro certificado diretamente em sua instância do EC2. Você não pode usar um certificado ACM embora. Isso evitaria a necessidade de um balanceador de carga. Eu tenho um pequeno tutorial sobre isso aqui .

Para responder às suas perguntas

  1. Eu não acho que um ALB exija várias instâncias do EC2, um deve estar bem.

  2. Se configurado corretamente, você poderá encerrar o HTTPS no balanceador de carga e o navegador ainda mostrará a conexão como segura. Isso geralmente é apropriado para a maioria das cargas de trabalho, pois a rede interna da AWS é considerada confiável e segura.

  3. Você pode fazer a criptografia de ponta a ponta, usando qualquer outro tipo de certificado.

  4. Você teria que verificar se os certificados autoassinados funcionam com o ALB. Se o Let's Encrypt for gratuito e fácil, não vejo por que você se incomodaria.

  5. Não, eles são tipos diferentes de certificado.

por 15.10.2018 / 23:44
3

Para responder diretamente à sua pergunta: Não, você não precisa de um certificado SSL no servidor do EC2 quando o Load Balancer encerra o SSL. Você pode e pode ser qualquer certificado SSL válido, mesmo um auto-assinado. ALB aceitará isso.

E não, você não precisa de duas instâncias EC2 por trás de um ALB, um EC2 vai funcionar bem.

E não, você não pode usar certificado SSH como um certificado SSL HTTP, eles têm uma estrutura diferente.

Espero que ajude:)

    
por 16.10.2018 / 00:47