AWS - Балансировщик нагрузки с терминацией TLS, но с использованием самозаверяющих сертификатов для серверных частей?

Question

Вопрос

Возможно ли иметь балансировщик нагрузки в AWS-обработчике завершения TLS для реального сертификата, а также использовать самозаверяющий сертификат на внутреннем сервере?Если да, то как?

---

Conext

Таким образом, я мог бы заплатить за сертификат один раз для одного сервера (LB), а затем иметь TLS междуLB и большое количество внутренних серверов.Пользователь переднего плана был бы счастлив, поскольку он получил бы реальный сертификат и никаких предупреждений, и фоновое приложение было бы защищено через самоподписанный сертификат.

Answer 1

Это возможно. Вы можете использовать доверенный сертификат на ELB и самозаверяющий сертификат на бэкэнде. после настройки прослушивателя (для внешнего интерфейса на порту 443 и действительного сертификата) и целевой группы на порту 443 для внутреннего интерфейса весь трафик должен быть зашифрован. Клиент увидит, что сертификат используется в ELB / ALB, и вы также можете ограничить бэкэнд, чтобы разрешить подключения только из ELB / ALB.

Вы можете использовать сертификат ACM на бесплатном ELB / ALB.