我开始为我的服务器池设置Amazon的Elastic Load Balancing服务,我需要设置HTTPS / SSL。 我有我所有的SSL证书设置,但后来我来到后端身份validation的步骤,我不确定“后端身份validation”需要什么证书。
这是我的网站私钥,公钥,还是我需要在服务器上生成一个新的密钥?
感谢您的帮助。
以前的答案不是100%准确的。
ACTUALLY所做的后端身份validation是确保公钥后端服务器报告(当ELB通过HTTPS / SSL与服务器通话时)与您提供的公钥匹配。 这样可以防止有人将恶意服务器附加到您的ELB上,或者减轻某人劫持ELB和您的服务器之间的stream量。
后端authentication不考虑客户端(例如浏览器)是否通过HTTPS / SSL与您的ELB进行通信。 您可以让ELB通过HTTP与客户端进行通信,同时通过HTTPS / SSL与后端服务器进行后端通信。 这只会确保ELB和您的服务器之间的通信是安全的,而不是如果客户端连接是安全的。
综上所述
只要您的ELB通过HTTPS与您的后端实例进行通信,该stream量就会被encryption,尽pipe它可能被劫持。 后端authentication有助于防止stream量被劫持。
为什么你不使用后端authentication?
性能。 启用后端身份validation后,通过ELB进行通信时(其他所有HTTPS已启用),响应时间增加了50-70毫秒。
后端身份validation确保所有stream量进出实例,负载均衡器和客户端将被encryption。
我自己在这个设置上遇到了一些麻烦,但是经过一番深入的研究,我发现了Elastic Load Balancing开发人员指南中的相应部分,请参阅使用SSL密码设置和后端服务器身份validation创build负载平衡器 – 特别是,您可能希望阅读如何通过使用[AWS]pipe理控制台来实现这一点, 该pipe理控制台为涉及的各种主题提供了有用的演练和插图。