ELB 后端实例的 IIS 进行双向 SSL认证?

Question

【以下的问题经过翻译处理】 一位客户正在将一个使用2-way SSL（客户端身份验证）进行访问控制的内部.NET微服务迁移到AWS。它在一个ASG中托管于IIS（Windows Server 2012）之后的经典ELB之后。

问题在于我们无法使IIS与ELB之间的2-way正常工作。ELB被配置为使用代理协议，并且在端口443上具有TCP侦听器（内部和外部）。所有传入的REST请求都会超时（无法访问系统）。

有人知道如何使IIS在ELB之后支持2-way SSL吗？

Answer

【以下的回答经过翻译处理】 结果显示，我们发现我们的请求超时是因为IIS不支持代理协议。这没关系，因为双向SSL不使用x-forwarded-for头信息。

我们使用以下步骤使其工作：

1. 配置ELB将SSL传递到服务器（协议= TCP，端口= 443）。
2. 确保ELB上的代理模式已禁用（默认设置）。
3. 使用此[说明](https://blogs.msdn.microsoft.com/asiatech/2014/02/12/how-to-configure-iis-client-certificate-mapping-authentication-for-iis7/)配置IIS站点以接受客户端SSL证书。
4. 客户端应用程序将客户端证书添加到每个REST请求中。
5. 服务器端应用程序的请求处理程序检查匹配的客户端证书指纹的请求。

ELB 后端实例的 IIS 进行双向 SSL认证?

Relevant content