Amazon web services Cloudfront、ELB和SSL_Amazon Web Services_Amazon Cloudfront_Amazon Elb

Amazon web services Cloudfront、ELB和SSL

amazon-web-services

Amazon web services Cloudfront、ELB和SSL,amazon-web-services,amazon-cloudfront,amazon-elb,Amazon Web Services,Amazon Cloudfront,Amazon Elb,如果我使用Cloudfront坐在一个Web服务器前面，它本身就在一个ELB后面，那么下面的内容是否适用我使用Route53为CF域创建域名记录，并向该域应用SSL证书以保护分发如果CF不能从缓存中提供内容，那么SSL连接将转发到ELB（它作为源服务器面向Web服务器）因此，我还需要在ELB上使用相同的域名（FQDN）（通过Route53 CNAME）并在那里应用相同的证书当CF通过ELB转发请求时，SSL终止是这样吗？一个FQDN证书是否足以或更好地使用通配符？使用源服务器域名是否

如果我使用Cloudfront坐在一个Web服务器前面，它本身就在一个ELB后面，那么下面的内容是否适用

我使用Route53为CF域创建域名记录，并向该域应用SSL证书以保护分发
如果CF不能从缓存中提供内容，那么SSL连接将转发到ELB（它作为源服务器面向Web服务器）
因此，我还需要在ELB上使用相同的域名（FQDN）（通过Route53 CNAME）并在那里应用相同的证书
当CF通过ELB转发请求时，SSL终止是这样吗？一个FQDN证书是否足以或更好地使用通配符？使用源服务器域名是否更好

由于我现在可以使用新的AWS证书管理器工具（ACM）添加这些证书，有人知道如果使用ACM，CF是否仍然需要使用自定义SSL证书的成本（这使得CF成为一项昂贵的AWS服务）

如果CF不能从缓存中提供内容，那么SSL连接将转发到ELB（它作为源服务器面向Web服务器）

SSL连接未“转发”。CloudFront和ELB之间建立了新的SSL连接

用户和CloudFront之间的SSL连接与CloudFront和ELB之间的连接完全不同。因此，没有要求匹配ELB和CloudFront上使用的域名

因此，我还需要在ELB上使用相同的域名（FQDN）（通过Route53 CNAME）并在那里应用相同的证书

唯一的限制是ELB上的SSL证书必须与ELB上使用的域名匹配。它可以是不同于CloudFront上使用的SSL证书和域名

如果您想使用“自定义SSL”功能并支持“所有客户端”，而不仅仅是那些支持SNI的客户端，那么是的，您仍然必须支付额外费用，即使您正在使用ACM

示例1

您可以为www.domain.com和origin.domain.com创建路由53记录，并为*.domain.com创建SSL证书。通过这些，您可以将www.domain.com分配给CloudFront发行版，将origin.domain.com分配给ELB，并在两者上使用通配符证书

示例2

您可以为www.domain.com和origin.domain.com创建路由53记录，并为www.domain.com和origin.domain.com创建单独的SSL证书。通过这些，您可以使用www.domain.com证书将www.domain.com分配给CloudFront分发，使用origin.domain.com证书将origin.domain.com分配给您的ELB

示例3

您可以为www.domain1.com和origin.domain2.com创建路由53记录，并为www.domain2.com和origin.domain2.com创建单独的SSL证书。通过这些，您可以使用www.domain2.com证书将www.domain2.com分配给CloudFront发行版，使用origin.domain2.com证书将origin.domain2.com分配给您的ELB。

great tks，这样我就可以100%清楚地为站点创建合适的域名，通过ACM创建AWS证书，并对CF和ELB使用相同的证书了吗？如果我在Route53中创建了正确的DNS记录（CName和A记录）。当你谈到ELB域名的限制时，我假设AWS给你的不是ELB的域名，而是一个合适的别名？我已经添加了一些例子。