CloudFront到EC2端到端加密

Question

我需要端到端加密，所以当前的设置是：

example.com -> Route53 -> LB (TCP :80/443) -> Nginx Ingress with SSL certs installed

是否可以做这样的事情：

example.com -> Route53 -> CloudFront -> LB (TCP :80/443) -> Nginx Ingress with SSL certs installed

当我将相同的证书附加到CloudFront时，我得到了一个502 CloudFront错误。我将example.com列在备选域名中，而LB DNS名称mylb123.elb.us-east-2.amazonaws.com作为源域名。Documentation表示，原产地域名应该与他说证书中分配给原产地的名称之一相匹配，但SSL是为实际域(如example.com )提供的，确保它不包括*.elb.us-east-2.amazonaws.com等。这让我感到困惑。

请您建议如何在CloudFormation端设置SSL或通过SSL并在侵入端处理SSL？

更新：

SSL证书是由DigiCert颁发的，它不是自签名的.

Answer 1

我在非相关问题中找到了分辨率。

为了使SSL在没有502 ERROR The request could not be satisfied错误的情况下工作，我必须将域(例如example.com)指定为CloudFront发行版中的备用域名，在缓存行为中附加为example.com提供的SSL证书，以及非常重要的白名单Host报头。这使得SSL握手在CloudFront和Nginx之间工作。

Answer 2

对于您的来源，在您的实例中，您必须拥有有效的公共SSL证书。不可能是自签的。这意味着您需要有一个适当的公共域来注册这样的证书。

AWS免费SSL证书不适用于实例，除非是在enclate中，因此您必须使用第三方来获得这样的SSL证书。流行的选择是https://letsencrypt.org/。或者，您可以在实例前面使用ALB，并从ACM获得免费的SSL。