ELB-SSL証明書


SSL/TLS

  • SSL証明書を使用すると、クライアントとロードバランサの間でデータを転送するときに、転送中に暗号化できます.
    -送信者と受信者のみが復号できます.
  • SSLは、接続を暗号化するためのセキュアソケット層を表す.
    -SL証明書には有効期限(設定時に指定)があるため、定期的に更新して検証する必要があります.
  • TLSはSSLの最新バージョンであり、伝送層の安全を示す.
  • 最近は主にTLSが使われていますが、SSLは依然として多く使われています.
    SSL証明書は、Comodo、Symantec、GoDaddyなどの公認機関から発行されます.
    グーグルならcomなどに接続すると緑色のロックが表示されます.これは、トラフィックが暗号化されていることを意味します.そうしないと、赤色のロックが表示されます.これは、トラフィックが暗号化されていないことを意味し、接続が安全ではないことを意味します.

    Load Bank rはSSL証明書を使用



    プロセス全体は以下の通りです.
    1. 유저가 HTTPS를 통해 연결하면 유저는 다시 공용 인터넷을 통해 로드 밸런서와 연결 된다.
    2. 내부적으로, 로드 밸런서는 SSL 인증서 종료(termination)라는 작업을 수행한다.
    3. 백엔드에서 로드 밸런서는 EC2 인스턴스와 HTTP를 통해 연결되는데, 이는 암호화 되어 있지는 않다.
    	- 그러나 트래픽은 안전을 보장하기 위해 private VPC를 통해 전송 된다.
  • ロードバランサは、X.509証明書(SSLまたはTLSサーバ証明書と呼ばれる)をロードします.
  • 証明書はACMで管理できます.
    -必要に応じて、必要な証明書をACMにアップロードできます.
  • HTTPSリスナーの設定
    -このオプションを設定する場合は、デフォルトの証明書を指定する必要があります.
    -証明書選択リストを追加して、他の複数のドメインをサポートすることもできます.
  • クライアントは、SNIを使用して、到着するホスト名を指定することができる.
  • 必要に応じて、旧バージョンのSSL/TLSをサポートするための特定のセキュリティポリシーを設定できます.これを旧式クライアントと呼びます.
  • Server Name Indication(SNI)

  • SNIでは、複数のSSL証明書を発行し、単一のWebサーバに複数のWebサイトを提供することができます.
  • SNIは、クライアントが最初のSSL握手時にターゲットサーバのホスト名を指定するように要求する最新のプロトコルです.
    -つまり、クライアントが接続するWebサイトの名前を指定した場合、サーバはどの証明書をロードすべきかを知ることになります.
  • この機能は、最新バージョンのALBまたはNLBおよびCLoudFrontでのみ使用できます.ALBはいくつかのルールに従ってターゲットグループにルーティングされ、次のグラフではホスト名をポリシーとして使用することができます.
    以下のALBには2つのSSL証明書(ホストごとの証明書)があります.
  • ユーザーはwww.mycorpにログインします.com(SNI)をリクエストします.
  • ALBクライアントの要求を確認し、対応するSSL証明書を使用します.
  • は、適切な証明書によってトラフィックを暗号化し、ALBのホスト名ポリシーのおかげで、対応するターゲットグループはmycorpである.comであることを確認できます.
  • SNIを利用すると,複数のターゲットグループが複数の異なるサイトに接続できる.

    SSL証明書を使用できるELBタイプ


    Classic Load Balancer(v1)

  • 個のSSL証明書のみをサポートします.
  • の複数のSSL証明書を使用する場合は、ホスト名ごとにCLBを生成する必要があります.
  • Application Load Balancer(v2)

  • 以上のSSL証明書を持つ複数のリスナーをサポートします.
  • にSNIを使用します.
  • Network Load Balancer(v2)

  • 以上のSSL証明書を持つ複数のリスナーをサポートします.
  • にSNIを使用します.