如何将我的Nodejs应用程序配置为只响应SSL连接？

Question

我有一个Nodejs/Express应用程序运行在ec2上与Nginx和Mongodb。我运行在一个8核心ec2实例上，我有8个Nodejs应用程序的单独实例，运行在Nginx的前端。目前，我只有一台服务器。

我们将很快投入使用，并希望确保我们的服务器只响应SSL请求。我想知道如何在何处配置SSL连接。

下面是它们：

1. 我得去一个CA像Verisign获得证书，对吗？我的域名是通过Godaddy注册的，我可以从他们那里获得ssl证书吗？
2. 我需要在ec2实例上安装证书吗？如果是的话，如果我必须为HA添加另一个服务器，并且我想使用弹性负载平衡，会发生什么？在这种情况下，我是否需要为每个ec2实例购买一个单独的证书？是否有关于如何为ssl配置Nginx的文档或教程？
3. 打开ssl后，如何确保所有非ssl连接自动重定向到ssl端点？我可以通过Nginx中的一个配置条目轻松地做到这一点吗？

Answer 1

1. 我得去像VeriS传那样的CA获得证书，对吗？我的域名是通过Go爹地注册的，我能从他们那里获得ssl证书吗？

是的，您可以通过GoDaddy直接购买SSL证书。。

1. 我需要在ec2实例上安装证书吗？

是的，您想要提供HTTPS内容的每台服务器都需要安装证书。要小心购买可以安装在多台服务器上的证书--一些证书只能安装在一台服务器上。看来GoDaddy允许无限的证书安装，所以如果您使用它们，这不是一个问题，但是如果您和其他人一起去的话，这可能是一个问题。

另一个考虑因素是，如果您想让子域使用SSL (即.mydomain.com不会抛出浏览器警告)，则需要购买通配符证书(以允许无限子域)或支持特定数量的要使用的子域的证书。

还请注意，如果您需要在AWS上支持负载均衡器后面的粘性会话，则需要在弹性负载均衡器(ELB)上安装证书以及所有服务器。

但是，我不会担心这一点，直到其他所有工作正常，因为您现在只有一台服务器，但请注意，证书必须是X.509 (似乎是GoDaddy的)才能安装在您的ELB上。只是要确保在购买时，这不是一个问题，在未来。

有人能告诉我如何为ssl配置nginx的一些文档或教程吗？

Nginx中的SSL证书安装。

1. 如何确保所有非ssl连接自动重定向到ssl端点？

参见这个答案在这里 on ServerFault，配置非常简单：

server {
    listen      80;
    server_name signup.mysite.com;
    rewrite     ^   https://$server_name$request_uri? permanent;
} 

祝你好运。

Answer 2

您可以终止ELB中的SSL连接，然后将普通HTTP返回给应用服务器。然后在实例上设置安全组，以禁止来自客户端的任何直接连接(迫使它们通过ELB)。这种方法可以很好地解决所有的问题。