Where does that certificate ultimately persist if I put it on the ELB?
Os certificados são armazenados no IAM.
Eles devem ser tão seguros, como as credenciais da sua conta, então isso parece uma preocupação equivocada, para mim, assim que você tiver essa informação.
As instâncias de ELB buscam o certificado, a cadeia e a chave privada do IAM sempre que são inicializadas ou ampliadas.
Note, claro, que garantir o seu "certificado" é um conceito bobo. Seu certificado e a cadeia são públicos. Eles são obedientemente entregues ao navegador da web que faz uma conexão. É assim que o SSL funciona. A parte que precisa ser protegida é, obviamente, a chave privada. Sem isso, seu certificado não pode ser abusado.
E o IAM garante isso. Tanto assim, que nem mesmo você pode recuperá-lo depois de armazená-lo.
Se você decidiu, por qualquer motivo, que queria extrair seu certificado e sua chave privada do IAM ... bem, você não pode.
Você pode listá-los, sobrescrevê-los e excluí-los do banco de dados do IAM, mas nem mesmo o proprietário da conta pode recuperá-los. Eles estão garantidos.
Indiscutivelmente, nas suas instâncias, a chave privada que a acompanha seria menos segura ... mas ...
Você pode permitir que o ELB faça o balanceamento das conexões TCP com as instâncias que estão manipulando o SSL para si mesmas, simplesmente configurando o ouvinte do ELB no modo TCP, em vez de HTTP.
Claro que isso coloca mais trabalho em suas instâncias e não é chamado de "descarregamento" - a terminologia é invertida - essa configuração seria "não descarregada". O descarregamento seria o modo normal - um ELB no modo SSL está fazendo o descarregamento de SSL para a instância - manipulando SSL em vez de as próprias instâncias, manipulando seu próprio SSL.