In meiner Anwendung laufen mehrere Instanzen des Servers hinter einem Load Balancer. Normalerweise findet bei AWS Application Load Balancern das SSL-Offloading am Load Balancer statt und die Verbindung zwischen ALB und Serverinstanzen bleibt unverschlüsselt.
Letzteres möchte ich verhindern, indem ich die Informationen erneut verschlüssele, d. h. indem ich mithilfe der in jeder Serverinstanz installierten selbstsignierten Zertifikate eine neue SSL-Verbindung zwischen dem Load Balancer und dem Server einrichte.
Meine Frage ist: Wie kann der Load Balancer das selbstsignierte Zertifikat des Servers als vertrauenswürdig einstufen und verifizieren? Normalerweise füge ich im Testmodus ohne ALB die Server-CA zu den vertrauenswürdigen Roots im Client-Programm hinzu, und die Verifizierung wird erfolgreich durchgeführt. Gibt es eine Möglichkeit, dies im Falle eines Load Balancers zu tun? Kann ich dem Load Balancer für den SSL-Verifizierungsprozess meine eigenen vertrauenswürdigen Roots hinzufügen?
Antwort1
AWS Application Load Balancer validiert keine Back-End-Server-Zertifikate, daher müssen Sie vertrauenswürdigen Ausstellern kein CA-Zertifikat hinzufügen.