Veröffentlicht am: Sep 12, 2019
Wir freuen uns sehr, die Unterstützung mehrerer TLS-Zertifikate für Network Load Balancers mithilfe von Server Name Indication (SNI) anzukündigen. Sie können nun mehrere sichere Anwendungen auf einem Load Balance Listener hosten, jede mit eigenem TLS-Zertifikat. Damit können SaaS-Anwendungen und Hosting-Services hinter demselben Load Balancer ausgeführt werden. Sie profitieren damit von Verbesserungen bei Ihrer Service-Sicherheitslage und Vereinfachungen bei Verwaltung und Betrieb.
Vor dieser Einführung unterstützten Network Load Balancer nur ein Zertifikat pro TLS-Listener, und Sie mussten Wildcard- oder Multi-Domain (SAN)-Zertifikate verwenden, um mehrere sichere Anwendungen hinter demselben Load Balancer zu hosten. Das potenzielle Sicherheitsrisiko mit Wildcard-Zertifikaten und der Betriebsaufwand bei der Verwaltung von Multi-Domain-Zertifikaten stellen Herauforderungen dar. Mit SNI-Unterstützung können Sie einem Listener mehrere Zertifikate zuordnen, damit kann jede sichere Anwendung hinter einem Load Balancer ihr eigenes Zertifikat verwenden.
Network Load Balancer unterstützen außerdem einen intelligenten Algorithmus für die Zertifikatsauswahl mit SNI. Wenn der von einem Client angegebene Hostname mehreren Zertifikaten entspricht, bestimmt der Load Balancer das beste zu verwendende Zertifikat auf der Grundlage mehrerer Faktoren, darunter die TLS-Fähigkeiten.
SNI ist in AWS Certificate Manager (ACM) und AWS Identity and Access Management (IAM) für die Zertifikatverwaltung integriert. Zusätzlich zu einem Standardzertifikat pro Listener können Sie einem Load Balancer bis zu 25 Zertifikate zuordnen.
Weitere Informationen finden Sie im Abschnitt TLS-Zertifikate der Network Load Balancer-Dokumentation und in der SNI-Demo.