gpt4 book ai didi

ssl - 如何将云端之间的 SSL 设置为具有 EC2 自定义来源的反向代理缓存?

转载 作者:太空宇宙 更新时间:2023-11-03 13:06:38 24 4
gpt4 key购买 nike

我的域名指向 cloudfront,后者又使用自定义来源引用我的 EC2 实例。在这种情况下,它是来自 EC2 的公共(public) dns 名称,例如 xxxxx.us-west-2.compute.amazonaws.com。这使其表现得像一个反向代理。

我有一个需要用户信息的表单,所以我想设置 SSL。因为我的主域指向cloudfront,

当像反向代理缓存一样使用 CF 并且 EC2 实例是自定义域时,如何设置 cloudfront 和 EC2 实例之间的关系。

我会这样做吗:

  1. 为我的来源创建一个子域,例如“origin.mydomain.com”
  2. 获取 origin.mydomain.com 的 SSL 证书
  3. 将 origin.mydomain.com 设置为云端的来源,而不是亚马逊创建的实例域。 (不是 xxxxx.us-west-2.compute.amazonaws.com)

编辑:为清楚起见修改了标题和一些正文。

最佳答案

是的,正是这个想法。

您错过的步骤是您还需要主域的 ssl 证书,您将在 CloudFront 分发版上“安装”该证书。

所以您需要两个证书(或一个多域——有时称为 SAN 或 UCC——或者您可以使用通配符证书),因为——正如您正确指出的那样——CloudFront 是一个反向代理(不仅仅是在这种情况——这正是 CloudFront 的本质,一个缓存反向代理)。

如果您只有源证书,CloudFront 和源之间的流量将被加密,但浏览器和 CloudFront 之间的流量不会被加密。

在 CloudFront 方面,您可以购买一个,也可以从 AWS Certificate manager 免费获得证书。这些证书适用于 CloudFront 和 ELB,但不能直接安装在 EC2 上,因此如果您不使用 ELB,则需要在其他地方获取证书。

Gandi 将以 16 美元的价格向您出售 EC2 实例的简单证书,该证书在 CloudFront 后面运行。我与他们没有任何关系,但我提到这一点是因为我知道它适用于 CloudFront——我为此使用它们。 LetsEncrypt 和 StartSSL 将免费为您提供一个,但可以说涉及的工作要多一些。我假设如果安装在 CloudFront 后面的源上,这些应该可以工作,但这取决于那些 CA 被 CloudFront 信任库信任,这很可能是这种情况,但不一定保证。 CloudFront 将拒绝使用它无法识别的 CA 颁发的 SSL 证书连接到源(它返回 502 错误,过去我在 CloudFront 背后的 StartSSL 证书上遇到过问题)......这也意味着你不能在源上使用自签名证书。

关于ssl - 如何将云端之间的 SSL 设置为具有 EC2 自定义来源的反向代理缓存?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/40517500/

24 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com