Começando a configurar um Load Balanser na AWS, encontrei algumas perguntas adicionais.
Basicamente, tenho um site / aplicativo implantado em uma instância do EC2. Eu gostaria de torná-lo seguro usando um certificado gerado pela AWS através do Gerenciador de certificados. Como eu já tenho entendi que o EC2 não pode gerenciar isso e uma maneira fácil de ativá-lo seria implantar um Balanceador de Carga na frente do EC2 que protege a comunicação do cliente com meu certificado ACM.
Talvez seja fácil, mas não para mim ...
PERGUNTA 1: Como não desejo implantar várias instâncias do EC2, preciso implantar um "Balanceador de Carga Clássico" em vez de um "Balanceador de Carga de Aplicativo" (já que este último exige pelo menos duas instâncias do EC2). Está correto?
PERGUNTA 2: Eu quero que os visitantes do site recebam a indicação "segura" em seus navegadores. Eu suponho que isso significa que eu preciso usar HTTPS todo o caminho cliente < - > Balanceador de carga < - > EC2, e não pode terminar o SSL / HTTPS no LB. Esta é uma suposição correta?
PERGUNTA 3: Se a suposição anterior estiver correta, devo usar outro certificado para a comunicação HTTPS entre o Load Balancer e o EC2? Afaiu o que eu tenho no ACM não pode ser usado. A maneira correta seria gerar um novo certificado particular no ACM para usá-lo?
PERGUNTA 4: Em caso afirmativo, um certificado particular ainda daria ao usuário final o benefício de um certificado totalmente assinado, ou seria visto como um certificado auto-assinado (que eu não quero)?
PERGUNTA 5: Talvez totalmente errado (e mostrando o quanto eu realmente sei sobre certifiates ;-) mas desde que eu já tenho outro certificado ssh (do meu usuário do IAM, que eu uso para ssh para a instância do ec2) no ec2 Por exemplo, este poderia ser usado no Load Balancer < - > Passo EC2?
Ok, isso é tudo que eu penso, pelo menos por enquanto ...
Obrigado!
UPDATE
Graças às respostas úteis, consegui que isso funcionasse e foi mais fácil do que eu pensava ao escrever a pergunta original. Acabei de lançar um "Balanceador de Carga de Aplicativo" com http e um ouvinte https com meu certificado ACM, mantendo todas as opções padrão. Adicionando uma entrada CNAME no meu DNS externo ao nome DNS do meu loadbalancer e o SSL funciona muito bem.