我想在带有HTTPS侦听器的Amazon Web Services(AWS)中设置经典的“弹性负载平衡器”(ELB)。这种类型的侦听器要求您粘贴私钥和公钥以及证书链。
对于这个问题,让我将上述证书文件称为private1.pem,public1.pem和certchain1.pem。 1号证书颁发机构颁发了证书。
此ELB后面的应用程序服务器将使用其他私钥和公用密钥以及证书链文件。我们将它们称为private2.pem,public2.pem和certchain2.pem。 证书颁发机构#2颁发了证书。
当最终用户调用主网站URL时,应用服务器所引用的证书是否决定了最终用户浏览器是否信任该证书?正确地说,如果最终用户浏览器信任应用服务器证书所批准的证书颁发机构,那么绿色的挂锁将显示在最终用户浏览器中吗?如果最终用户浏览器不信任ELB正在使用的证书文件的证书颁发机构,该怎么办?
答案 0 :(得分:0)
在这种配置下,浏览器将永远不会看到服务器上安装的证书。仅会显示经典ELB本身的证书。
如果浏览器不信任该证书,则它也不信任它。
仅在ELB的背面可以看到服务器上的证书,该证书可用于(1)重新加密平衡器的背面与实例之间的流量(如果将平衡器配置为:期望它与实例之间存在TLS,并且(2)(可选)向平衡器验证实例以进行验证,以便平衡器可以证明没有冒名顶替者实例附加到平衡器-实际上,这听起来似乎不太可能,但有时出于合规性或政策原因需要。在第二种情况下,您向平衡器提供实例证书的副本,它将仅连接到拥有相同证书和匹配私钥的实例。后端证书可以是自签名的,因为信任是基于将证书提供给平衡器进行比较的事实,而不是通常的公共信任链机制。