应用程序负载均衡器重定向

Question

我有一个托管在 IIS 中运行的网站的 EC2 实例。我还设置了一个带有 HTTPS 侦听器的 AWS Application Load Balancer，我在其中添加了我的网站的 SSL 证书（保存在 AWS Certificate Manager 中）。 HTTPS 侦听器将流量重定向到我的目标组，该目标组又指向我的 EC2 实例。 EC2 实例使用安全组仅允许来自负载均衡器的流量。

首先，我认为 Application Load Balancer 解密 SSL 流量并因此使用 HTTP 将其转发到我的目标组是否正确（换句话说，我的 EC2 实例的安全组只需要接受来自的 HTTP 流量负载均衡器，我可以从 IIS 中删除我的 SSL 证书）？

其次，我目前遇到的主要问题是该站点具有指向某些资源（CSS、JavaScript 等）的相对路径。结果，当我浏览该站点时，我的 FireFox 控制台中出现混合内容错误。我在负载均衡器中设置了一个 HTTP 侦听器以将流量重定向到 HTTPS，但这似乎不适用于相对路径。

我并不想特别编辑站点来更改完全限定的 HTTPS URL 的相对路径，因为它是一个非常复杂的内容管理系统。此外，在使用负载均衡器之前，该站点可以完美地提供内容（DNS 条目指向我的 EC2 实例的公共 IP 地址，并且 IIS 中有一个重写规则来处理非 HTTPS 流量）。

任何建议将不胜感激。

Answer 1

感谢您的回复。我设法找到了第二个问题的底部。该站点的 web.config 有一个重写规则，它强制 URL 小写（与 SEO 有关）。这导致了在提供 CSS 和 JS 文件时出现问题。我已经对此规则进行了必要的更新，它现在似乎可以工作了（请参阅 IIS URL 将模块 url 的 url 改成小写）。

对于第一个问题，SSL 证书不需要安装在 IIS Web 服务器上 - 它们只需要在 AWS Certificate Manager 中，然后分配给负载均衡器，负载均衡器有 2 个侦听器 - 一个用于直接到我的目标组的 HTTPS 流量和一个将 HTTP 流量重定向到 HTTPS 的流量。

我的 IIS 站点现在只有 HTTP 绑定，并且只接受来自负载均衡器的 HTTP 流量。

似乎一切正常！

Answer 2

打开您的浏览器并单击“网络”选项卡并检查这些呼叫是否应该转到使用HTTP 的其他地方，这些是来自您的应用程序的呼出呼叫，重定向不会解决这些问题。看截图

在您的情况下似乎同样的错误，您从另一端提供图像，而不是来自 EC2，这意味着 EC2 服务器应该回答的那些请求将正常工作，但您的代码尝试提取 JS 文件或其他资源都是呼出的，与LB重定向规则无关。

最好更新您的应用程序和所有指向 https 的 URL。

当用户访问通过 HTTPS 提供的页面时，他们与 Web 服务器使用 TLS 加密，因此不受 大多数嗅探器和中间人攻击。一个 HTTPS 页面 包括使用明文获取的内容 HTTP 称为混合 内容页。像这样的页面只是部分加密，离开 嗅探器和中间人可访问的未加密内容 攻击者。这会使页面不安全。

Answer 3

对于您的第一个问题，我认为是的。您可以从 IIS 中删除我的 SSL 证书，并指向 EC2 实例的安全组以接受来自负载均衡器的 HTTP 流量。

关于相对路径的问题，请点击此链接：After introducing ALB, Mixed Content Error happened

我认为这会有所帮助。