Ich habe mit dem Einrichten des Elastic Load Balancing Service von Amazon für meinen Serverpool begonnen und muss HTTPS / SSL einrichten. Ich habe alle meine SSL-Zertifikate eingerichtet, komme dann aber zum Schritt für die Backend-Authentifizierung und bin mir nicht sicher, welches Zertifikat für die "Backend-Authentifizierung" erforderlich ist.
Handelt es sich um den privaten oder den öffentlichen Schlüssel meiner Site, oder muss ich auf dem Server einen neuen Schlüssel generieren?
Vielen Dank für die Hilfe.
amazon-ec2
ssl
amazon-web-services
amazon-elb
whobutsb
quelle
quelle
Antworten:
Die vorherige Antwort ist nicht 100% genau.
Durch die Back-End-Authentifizierung wird WIRKLICH sichergestellt, dass der von Ihrem Back-End-Server gemeldete öffentliche Schlüssel (wenn ELB über HTTPS / SSL mit Ihrem Server spricht) mit einem von Ihnen angegebenen öffentlichen Schlüssel übereinstimmt. Dies würde jemanden daran hindern, einen böswilligen Server an Ihre ELB anzuschließen, oder jemanden davon abhalten, den Datenverkehr zwischen ELB und Ihren Servern zu missbrauchen.
Bei der Back-End-Authentifizierung wird NICHT berücksichtigt, ob der Client (z. B. ein Browser) über HTTPS / SSL mit Ihrer ELB kommuniziert. Sie können eine ELB über HTTP mit einem Client kommunizieren lassen, während Sie über HTTPS / SSL mit Back-End-Kommunikation mit Ihren Back-End-Servern kommunizieren. Dies würde nur sicherstellen, dass die Kommunikation zwischen ELB und Ihrem Server sicher ist, NICHT, wenn die Client-Verbindung sicher ist.
in Summe
Solange Ihre ELB über HTTPS mit Ihrer Backend-Instanz kommuniziert, wird dieser Datenverkehr verschlüsselt, obwohl er möglicherweise entführt wird. Die Back-End-Authentifizierung verhindert, dass der Datenverkehr missbraucht wird.
Warum sollten Sie keine Back-End-Authentifizierung verwenden?
Performance. Bei aktivierter Back-End-Authentifizierung hat sich die Antwortzeit bei der Kommunikation über ELB um ca. 50-70 ms erhöht (bei allen anderen aktivierten HTTPS).
quelle
Die Back-End-Authentifizierung stellt sicher, dass der gesamte Datenverkehr zu / von den Instanzen, dem Load Balancer und dem Client verschlüsselt wird.
Ich hatte einige Probleme mit diesem Setup selbst, aber nach einigem Graben ich den jeweiligen Abschnitt in der gefunden Elastic Load Balancing Developer Guide finden Sie Erstellen eines Load Balancer Mit SSL Cipher Einstellungen und Back-End - Server - Authentifizierung - insbesondere, können Sie wollen Lesen Sie, wie Sie dies mithilfe der AWS Management Console erreichen. Diese enthält eine hilfreiche exemplarische Vorgehensweise und Abbildungen zu den verschiedenen betroffenen Themen.
quelle