Je ne sais pas trop comment les Elastic Load Balancers fonctionnent avec les certificats dans AWS. Le nom de domaine de mon ELB est my-service1234568698.eu-west-2.elb.amazonaws.com et c'est ce que j'appelais mes points de terminaison REST (j'ai mes demandes de palming ELB vers des instances docker avec des microservices Java). p>
J'ai mon propre domaine et j'ai créé un certificat Amazon pour celui-ci dans ACM, mais c'est pour www.my-domain-here.com, pas pour Amazon ELB. Lorsque j'essaie d'appeler l'ELB via https, j'obtiens une erreur CORS car le nom du certificat ne correspond pas au nom de domaine AWS. En l'appelant avec CURL et en spécifiant l'hôte d'origine, j'obtiens:
curl: (51) SSL: aucun autre nom de sujet de certificat ne correspond au nom d'hôte cible 'mon-service1234568698.eu-west-2.elb.amazonaws.com'
Avez-vous une idée de la façon dont cela est censé fonctionner?
3 Réponses :
Le certificat doit être attaché à votre point de terminaison de terminaison SSL dans votre environnement AWS. L'équilibreur de charge est généralement utilisé comme point de terminaison de terminaison SSL, ce qui signifie qu'il effectuera toute la négociation SSL et la configuration de la connexion sécurisée. Pour ce faire, votre équilibreur de charge doit connaître le certificat, la chaîne et la clé privée. Vous pouvez faire tout cela à l'aide de la console AWS.
L'enregistrement d'un nom de domaine et la création d'un certificat ne sécurisent pas votre domaine. Comme vous devez toujours appliquer le certificat à l'origine de votre domaine ou à un point de terminaison public dans votre environnement AWS. Vous ne savez pas où avez-vous appliqué cela? Si le certificat est uniquement demandé via ACM et n'est attaché nulle part, votre équilibreur de charge peut être un choix valide en fonction de l'ensemble de votre configuration.
MODIFIER: Comme indiqué dans les commentaires, vous devez également créer un enregistrement CNAME dans la route 53 pour faire pointer votre propre domaine vers votre équilibreur de charge. Pour que vous n'ayez pas besoin d'appuyer sur le nom de domaine de l'équilibreur de charge cryptique, vous pouvez à la place utiliser votre propre domaine enregistré.
Merci pour le post. J'utilise le certificat sur mon point de terminaison d'équilibrage de charge, mais ma question portait davantage sur le fait que lorsque j'ai enregistré le certificat dans ACM, j'ai mis le nom de domaine www.my-domain.com. Lorsque je passe un appel https REST à mon équilibreur de charge AWS, l'URL (ou le nom de domaine) est celle spécifiée par AWS (qui se termine par amazonaws.com) et ce nom de domaine ne correspond pas à celui enregistré sur le certificat.
Parce que vous devez créer un enregistrement CNAME dans la route 53 pour faire pointer votre propre domaine vers votre équilibreur de charge. Pour que vous n'ayez pas besoin d'appuyer sur le nom de domaine de l'équilibreur de charge cryptique, vous pouvez utiliser votre propre domaine enregistré.
ce qui vous manque, c'est que vous devez pointer www.my-domain.com vers my-service1234568698.eu-west-2.elb.amazonaws.com dans votre système de gestion de domaine (Rotue53 si vous utilisez aws). alors vous devriez curl en utilisant votre domaine curl www.my-domain.com
Si vous utilisez Route53,
créer un enregistrement A pour www.my-domain.com pointant vers my-service1234568698.eu-west-2.elb.amazonaws.com et définissez Alias sur Yes
Je vois, je comprends maintenant. Ainsi, www.my-domain.com est hébergé par un autre fournisseur (c'est-à-dire pas sur aws) et c'est là que mon SPA est hébergé (en utilisant REACT). Mon idée était de passer des appels vers mon back-end AWS à partir de là. Si je souhaite utiliser https sur un équilibreur de charge élastique, cela signifie-t-il que j'ai besoin de deux domaines alors? Un pour mon site Web et un pour que je puisse utiliser un certificat dans aws?
Vous pouvez le faire soit avec deux domaines (mydomain.com, mydomain2.com), soit avec deux sous-domaines du même domaine (site web, mydomain.com, api.webdomain.com). Vous n'avez pas besoin d'un domaine séparé uniquement pour obtenir un certificat SSL. Vous pouvez obtenir un certificat pour n'importe quel domaine ou sous-domaine existant. J'espère que cela t'aides
Je vois. Merci encore pour votre message. Savez-vous s'il est possible de créer un certificat SSL sur Amazon Certificate Manager qui pointe vers "mon" domaine mon-service.1234567.eu-west-2.elb.amazonaws.com? Impossible de voir un moyen de l'ajouter
les certificats ne pointent nulle part. vous pouvez créer un certificat pour n'importe quel domaine que vous possédez. une fois que vous avez un certificat émis pour disons * .mydomain.com , vous pouvez l'attribuer à un équilibreur de charge. vous pouvez faire pointer votre domaine vers "mon" mon-service.1234567.eu-west-2.elb.amazonaws.com`, que vous ayez un certificat ou non
En fait, je viens de voir que vous ne pouvez pas: Remarque Vous ne pouvez pas demander un certificat pour les noms de domaine appartenant à Amazon, tels que ceux se terminant par amazonaws.com, cloudfront.net ou élastiquebeanstalk.com.
J'ai mal compris votre question, vous ne pouvez obtenir que le certificat du domaine que vous possédez. Oui.
Après de nombreuses recherches et essais et erreurs, je suis arrivé à la conclusion qu'il n'est pas possible d'ajouter un sous-domaine (en utilisant au moins Namecheap) à mon domaine principal (www.my-domain.com) et de rediriger ce sous-domaine sur mon ... elb.amazonaws.com Elastic Load Balancer. Je ne peux pas croire à quel point ce truc est difficile à travailler. Je pense que je vais devoir acheter encore un autre domaine afin de pouvoir configurer un réacheminement DNS approprié sur celui-ci plutôt qu'une simple redirection (cela semble être la seule chose que je puisse faire sur un sous-domaine avec NameCheap)
dis-moi si tu as besoin d'aide
Laissez-nous continuer cette discussion dans le chat .
Merci pour votre aide les gars (et, Arun, appréciez le chat), j'ai réglé cela et fonctionne maintenant.
Heureux d'avoir pu aider.
a publié une réponse pour vous, vous avez tout fait correctement, mais vous avez manqué une étape qui consiste à pointer votre domaine vers le nom DNS de votre équilibreur de charge. une fois que vous l'avez fait, vous pouvez appeler l'URL via votre domaine. Bonne chance.