AWS Elastic Load Balancer с прослушивателем HTTPS.Браузер конечного пользователя видит сайт как безопасный? - PullRequest
Новая
       17

AWS Elastic Load Balancer с прослушивателем HTTPS.Браузер конечного пользователя видит сайт как безопасный?

0 голосов
/ 03 мая 2019

Я хочу настроить классический «Elastic Load Balancer» (ELB) в Amazon Web Services (AWS) с прослушивателем HTTPS. Для этого типа слушателя необходимо вставить закрытые и открытые ключи и цепочку сертификатов.

В связи с этим вопросом позвольте мне сослаться на приведенные выше файлы сертификатов как private1.pem, public1.pem и certchain1.pem. Центр сертификации № 1 выдал сертификат.

Серверы приложений, которые будут находиться за этим ELB, будут использовать разные файлы закрытых и открытых ключей и цепочки сертификатов. Давайте назовем их как private2.pem, public2.pem и certchain2.pem. Центр сертификации № 2 выдал сертификат.

Когда конечный пользователь звонит по URL-адресу основного веб-сайта, будут ли сертификаты, на которые ссылаются серверы приложений, определять, является ли сертификат доверенным для браузера конечных пользователей? Правильно ли говорить, что, если браузер конечных пользователей доверяет центру сертификации, которым сертификаты сервера приложений одобрены, этот зеленый pad-lock будет отображаться в браузере конечных пользователей? Что если браузер конечного пользователя НЕ доверяет центру сертификации файлы сертификатов, используемые ELB?

1 Ответ

0 голосов
/ 03 мая 2019

Браузер никогда не увидит сертификат, установленный на сервере, в этой конфигурации.Будет виден только сертификат самого классического ELB.

Если браузер не доверяет этому сертификату, то он ему не доверяет.

Сертификат на сервере виден толькообратной стороной ELB, где он может использоваться для (1) повторного шифрования трафика между задней стороной балансировщика и экземпляром, если балансировщик настроен на ожидание TLS между ним и экземпляром и (2)при необходимости аутентифицировать экземпляр для балансировщика, чтобы убедиться, что балансировщик может доказать, что экземпляры самозванца не прикреплены к балансировщику - что на практике маловероятно, как кажется, но иногда необходимо по соображениям соответствия или политики.Во втором случае вы предоставляете балансировщику копию сертификата экземпляра, и он будет подключаться только к экземпляру, у которого есть тот же сертификат и соответствующий закрытый ключ.Внутренний сертификат может быть самоподписанным, поскольку доверие основано на том факте, что вы передали сертификат для балансировщика, а не на обычных механизмах общедоступной цепочки доверия.

https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/elb-create-https-ssl-load-balancer.html

...