用客户端身份验证将经典ELB连接到EC2 Tomcat

Question

如何将ELB连接到EC2 HTTPS Tomcat

设置：

经典ELB：

1. SSL CA签名证书

EC2 Tomcat：

1. 密钥存储-自签名
2. 信任存储-从Salesforce导入证书
3. 客户Auth = True

其他注意事项：

• 如果clientAuth='false‘是有效的

基础设施概述: Salesforce -> SSL -> SSL EC2

Answer 1

通过在Health和listener中使用TCP，我做到了这一点。

Answer 2

当SSL证书部署在ELB上时，它将终止与客户端在ELB上的连接，解密请求，然后将它们发送到后端实例。这就是为什么请求使用clientAuth = false的原因。

如果您只需要每个Salesforce证书的身份验证(取决于您的安全策略)，请设置安全组，以便仅允许在端口443上使用ELB进行通信，并且clientAuth = false，因为ELB已经确保使用客户端加密连接。

如果您需要额外的安全性，您也可以按照这里的说明设置带有后端实例的身份验证。希望能帮上忙。