我的域名指向cloudfront,而Cloudfront则使用自定义来源引用了我的EC2实例。在这种情况下,它是EC2中的公共DNS名称,例如xxxxx.us-west-2.compute.amazonaws.com。这使其表现得像反向代理。
我有一个接受用户信息的表格,所以我想设置SSL。因为我的主域名指向CloudFront的,
当使用CF(例如反向代理缓存)且EC2实例是自定义域时,如何设置Cloudfront与EC2实例之间的关系。
我这样做:
编辑:修改标题和一些正文以便清楚。
是的,这就是这个主意。
您错过的步骤是,您还需要针对主域的ssl证书,该证书将“安装”在CloudFront发行版上。
因此,您需要两个证书(或一个多域-有时称为SAN或UCC-或可以使用通配符证书),因为-正如您正确指出的那样-CloudFront是反向代理(不仅在这种情况下- -这正是CloudFront的含义,即缓存逆向代理)。
如果你只对原点的证书,CloudFront的和原点之间的通信将进行加密,但浏览器和CloudFront的之间的流量也不会。
在CloudFront方面,您可以购买一个证书,也可以从AWS Certificate Manager免费获得证书。这些证书可与CloudFront和ELB一起使用,但不能直接安装在EC2上,因此,如果您不使用ELB,则需要在其他位置获得证书。
Gandi会以16美元的价格向您出售EC2实例的简单证书,该证书可在CloudFront之后使用。我与他们没有任何隶属关系,但我提到了这一点,因为我知道它可与CloudFront配合使用-我将其用于此目的。LetsEncrypt和StartSSL将免费提供给您,但可以说涉及更多工作。我认为如果将它们安装在CloudFront后面的源上,它们应该可以工作,但是这将取决于CloudFront信任存储所信任的那些CA,这很可能是事实,但不一定能保证。CloudFront将拒绝使用无法识别的CA颁发的SSL证书连接到源(它返回502错误,并且过去我在CloudFront后面遇到StartSSL证书的麻烦)...这也意味着您原点不能使用自签名的证书。
本文收集自互联网,转载请注明来源。
如有侵权,请联系 [email protected] 删除。
我来说两句