为不同的端点检查不同的证书

问题描述：

我们有一个Web应用程序，可以同时提供安全和公共端点。我们目前正在使用弹性豆杆进行部署。为不同的端点检查不同的证书

从现在开始，我们希望为安全端点应用客户端认证。即对于某些端点，需要进行认证检查。

但是，弹性负载均衡器没有任何配置为不同的路由分配不同的ssl证书。

我们找到的唯一解决方案是;在应用程序负载平衡器之前设置nginx实例，并在这里检查证书。

有没有办法在AWS上实现这一点？

答

尽管我还没有亲自使用过一个，但我相信新的应用程序负载平衡器可能能够处理这个问题。您可以根据请求执行不同类型的侦听器。所以，这绝对是值得研究的，你去nginx的路线前：

您可以进入您的EC2服务面板测试一出来，并创建一个新的负载平衡器。选择应用程序负载平衡器类型并查看是否可以根据需要进行配置。

ALB不适用于客户端证书。 –

谢谢Rick，如果我们可以独立配置不同类型的侦听器并将它们路由到不同的端点，那么ALB可能会很有用。 –

答

使用客户端证书对客户端进行身份验证需要实例本身处理所有的SSL。

负载平衡这样的设置需要TCP模式下的经典ELB（透明，没有HTTP解释，SSL未在平衡器上配置）或网络负载平衡器，这可能是最佳配置，因为它由网络基础设施本身处理，并且基本上无限扩展，无需预热。

谢谢Michael，不幸的是，网络层平衡器目前不支持ssl卸载，因为您可以看到：https://aws.amazon.com/elasticloadbalancing/details/#details –

由于我们需要区分安全/不安全的连接与端点，路线;我相信在应用层期望解决方案是合理的。网络层平衡器甚至不支持SSL，因为它是可接受的协议。 –