AWS - SSL/HTTPS на балансировщике нагрузки

Ответ 1

Эластичная балансировка нагрузки не может перенаправлять ваши HTTPS-запросы на сервер. Вот почему SSL существует: чтобы предотвратить попадание человека в среднюю атаку (среди прочих)

Как вы можете это сделать, выполните следующие действия:

• настройте ваш ELB для приема 443 TCP-соединения и установите SSL-сертификат через IAM (как и вы)
• передать трафик на TCP 80 на ваш флот веб-серверов.
• настроить ваш веб-сервер для приема трафика на TCP 80 (поддержка SSL между балансировщиком нагрузки и веб-серверами также поддерживается, но не требуется большую часть времени).

• настроить веб-серверы Security Group только для приема трафика из балансировщика нагрузки.

• (необязательно) убедитесь, что ваши веб-серверы работают в частной подсети, то есть только с приватным IP-адресом и без маршрута к интернет-шлюзу

Если вам действительно нужен сквозной SSL-туннель между вашим клиентом и серверами backend (например, для проверки подлинности на стороне клиента на стороне клиента), вам придется настроить балансировщик нагрузки в режиме TCP, не в режиме HTTP (см. Поддержка двухстороннего TLS/HTTPS с ELB для более подробной информации)

Подробнее:

• Балансировщики SSL: http://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/US_SettingUpLoadBalancerHTTPS.html
• Балансировщики нагрузки в VPC: http://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/UserScenariosForVPC.html

Ответ 2

У вас есть слушатель HTTPS на вашем экземпляре EC2? Если нет, ваш порт экземпляра должен быть 80 для обоих слушателей балансировки нагрузки.