Cloudfront, ELB und SSL

Wenn ich mit Cloudfront zu sitzen, in front of ein webserver, welcher sich hinter ein ELB, würde das folgende gelten?

  • Benutze ich Route53 erstellen Sie ein domain-name-Eintrag für die CF-domain und bewerben Sie ein SSL-Zertifikat für diese domain zu sichern, die Verteilung

  • Wenn die CF kann nicht dazu dienen, die Inhalte aus dem cache, dann die SSL-Verbindung ist, mich auf die ELB (die Fronten der webserver als origin-server)

  • Daher brauche ich auch, verwenden den gleichen domain-Namen (FQDN) auf der ELB (über Route53 CNAME) und die gleiche cert auch da?

  • Beim CF leitet die Anforderung durch die ELB die SSL ist beendet
    Ist das richtig ? Wird ein FQDN cert ausreichen, oder besser, verwenden Sie einen Platzhalter? Ist es besser, um die Ursprungs-server, domain-Namen anstelle?

Wie kann ich den jetzt verwenden Sie die neue AWS-certificate manager-tool (ACM) zum hinzufügen dieser certs, weiß jemand, ob CF noch erfordern die Kosten für den Einsatz von benutzerdefinierten SSL-cert bei Verwendung von ACM (das macht CF eine teure AWS-service)?

InformationsquelleAutor JoeShmoe | 2016-02-02
  1. 12

    Wenn die CF kann nicht dazu dienen, die Inhalte aus dem cache, dann die SSL-Verbindung ist, mich auf die ELB (die Fronten der webserver als origin-server)

    Die SSL-Verbindung ist nicht "weitergeleitet". Eine neue SSL-Verbindung hergestellt wird zwischen CloudFront und der ELB.

    Die SSL-Verbindung zwischen dem Nutzer und CloudFront ist eine ganz andere Verbindung als die zwischen CloudFront und der ELB. Daher gibt es keine Anforderungen an die passenden domain-Namen, die verwendet werden auf dem ELB-und CloudFront.

    Daher brauche ich auch, verwenden den gleichen domain-Namen (FQDN) auf der ELB (über Route53 CNAME) und die gleiche cert auch da?

    Die einzige Einschränkung ist, dass das SSL-Zertifikat auf der ELB muss mit dem domain-Namen verwendet, auf der ELB. Sie können ein anderes SSL-Zertifikat und domain-Namen als jene auf CloudFront.

    Wenn Sie möchten, verwenden Sie die "Custom SSL" - Funktion und Unterstützung "Alle Kunden", nicht nur diejenigen, die Unterstützung von SNI, dann ja, Sie müssen noch bezahlen die zusätzlichen Gebühren, auch ist Sie mit ACM.

    Beispiel 1

    Können Sie die Route erstellen 53 Einträge für http://www.domain.com und origin.domain.com und ein SSL-Zertifikat für *.domain.com. Von diesen weisen Sie http://www.domain.com auf die CloudFront-Verteilung, origin.domain.com zu Ihrem ELB, und verwenden Sie das wildcard-cert auf beide.

    Beispiel 2

    Können Sie die Route erstellen 53 Einträge für http://www.domain.com und origin.domain.com und eigene SSL-certs für http://www.domain.com und origin.domain.com. Von diesen weisen Sie http://www.domain.com auf die CloudFront-Verteilung mit http://www.domain.com cert und origin.domain.com zu Ihren ELB mit der origin.domain.com cert.

    Beispiel 3

    Können Sie die Route erstellen 53 Einträge für http://www.domain1.com und origin.domain2.com und eigene SSL-certs für http://www.domain2.com und origin.domain2.com. Von diesen weisen Sie http://www.domain2.com auf die CloudFront-Verteilung mit http://www.domain2.com cert und origin.domain2.com zu Ihren ELB mit der origin.domain2.com cert.

    • große tks, Also einfach so im 100% klar, ich könnte einen geeigneten domain-Namen für die Website, erstellen Sie ein AWS-cert über ACM und verwenden die gleichen cert für beide CF und der ELB? Vorausgesetzt, die ich erstellt hatte, die richtigen DNS-Datensätze in Route53 (CName und A-record). Wenn Sie sagen, über die Beschränkung auf die ELB-domain-Namen im vorausgesetzt, dass nicht die domain-Namen AWS geben Sie für die ELB, aber ein passendes alias ?
    • Ich habe Beispiele Hinzugefügt.
    InformationsquelleAutor Matt Houser
Schreibe einen Kommentar