Архитектура: клиент <- TLS -> AWS Network Load Balancer порт: 443 <- TLS -> порт внутреннего сервера:443
В приведенной выше архитектуре TLS завершается балансировщиком сетевой нагрузки (NLB).
Обратите внимание, что внутренний сервер имеет собственный сертификат SSL, отличный от сертификата NLB.
TL; DR
NLB действительно должен сначала расшифровать пакеты, а затем повторно зашифровать, прежде чем они будут отправлены на бэкэнд. И да, это новое рукопожатие с сервером. NLB - это своего рода обман, потому что он подделывает IP, чтобы выглядеть так, как будто клиент напрямую обращается к бэкэнду. NLB выглядит прозрачным для внутреннего сервера.
Однако, поскольку вы, похоже, используете HTTPS (предполагая от порта 443), вы должны использовать Балансировщик нагрузки приложений (ALB), а не Network Load Balancer (NLB). NLB предназначен для трафика, отличного от HTTP / HTTPS, например для DNS, SMTP и т. д.
Надеюсь, это поможет :)