发布于: Sep 12, 2019
我们非常高兴地宣布,我们将使用服务器名称指示 (SNI) 在网络负载均衡器上支持多个 TLS 证书。现在,您可以在一个负载均衡器上托管多个安全应用程序,而且每个应用程序都有自己的 TLS 证书。这样,SaaS 应用程序和托管服务便可以在同一个负载均衡器后面运行,从而改善服务的安全状况并且简化管理和操作。
在此次发布之前,网络负载均衡器仅支持每个 TLS 侦听器一个证书,并且您必须使用通配符或多域 (SAN) 证书才能在同一个负载均衡器后面托管多个安全应用程序。通配符证书的潜在安全风险以及管理多域证书的运营开销带来了难题。借助 SNI 支持,您可以将多个证书与侦听器关联,让负载均衡器后面的每个安全应用程序都可以使用自己的证书。
借助 SNI,网络负载均衡器还支持智能证书选择算法。如果客户端指定的主机名与多个证书匹配,那么负载均衡器会基于多个因素(包括客户端功能)确定要使用的最适合的证书。
SNI 与 AWS Certificate Manager (ACM) 和 AWS Identity and Access Management (IAM) 集成,用于管理证书。除了每个侦听器的默认证书外,您还可以将最多 25 个证书与负载均衡器相关联。