Как говорится в названии, я хочу иметь один сертификат SSL для нескольких экземпляров в Amazon AWS. Несколько экземпляров подключены к Интернету через балансировщик нагрузки. Чтобы создать сертификат SSL и использовать его с балансировщиком нагрузки, я написал эту статью: http://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/ssl-server-cert.html .
Я прочитал статью и, если я правильно понял, пользователь подключается к балансировщику нагрузки, который содержит сертификат. Затем балансировщик нагрузки расшифровывает трафик и отправляет его соответствующему экземпляру. Поправьте меня, если я ошибаюсь !!
Я не могу вспомнить сайт, на котором я его читал, но на нем говорилось, что вы никогда не можете зависеть от IP-адреса балансировщика нагрузки (потому что он может отличаться). Если это правда, то как сертификат может жить на балансировщике нагрузки? Сертификат SSL тоже зависит от IP-адреса хоста, верно (помимо имени хоста)? Опять же поправьте меня, если я ошибаюсь !!
Значит, либо я неправильно запомнил последнюю часть, либо Amazon делает здесь что-то действительно забавное? Любая помощь приветствуется!
P.S. Я НЕ спрашиваю, как настроить балансировщик нагрузки или как установить сертификат SSL на балансировщик нагрузки.
Сертификат SSL тоже зависит от IP-адреса хоста, верно (помимо имени хоста)?
Нет, только имя хоста («DNS-имя») имеет значение для сертификата X.509 и уровня приложения. В таком сертификате есть поле с названием Common Name (CN) который содержит доменное имя (которое также отображается в адресной строке вашего браузера). Браузер проверяет сертификат с помощью предоставленной цепочки сертификатов и его локального хранилища доверенных центров сертификации и сравнивает общее имя с доменом, к которому подключен браузер. Если все1 в порядке, соединение безопасное.
IP-адрес имеет значение для транспортного уровня для установления соединения от вашего ПК к месту назначения (домен разрешен в IP). На основе этого подключения будет установлено TLS-соединение, включая сертификат.
Таким образом, все возможные балансировщики нагрузки, на которых заканчивается TLS-соединение, должны иметь сертификат (и соответствующий закрытый ключ).
1 Выполнено больше проверок, но они относятся к вашему вопросу.