弹性负载均衡器和https

Question

我正在使用Elastic Beanstalk，并且在配置SSL时遇到了一些麻烦。

我有一个由负载平衡器和单个EC2实例组成的环境。负载平衡器在端口443和80上具有侦听器。环境中的EC2实例在端口80上运行tomcat。我在负载平衡器中有一个证书，并且我能够通过端口443和80访问站点，一切都是工作得很好。

问题是，我希望所有请求都被重定向到端口443，即使是端口80上的端口也是如此。我已经搜索了高和低的方法来执行此操作，而无需更改我的安全配置。这是一个使用Spring安全性和MVC在Tomcat 7上运行的小型webapp。我试着用

<sec:intercept-url pattern="/**" requires-channel="https"/> 

但我有几页是没有过滤器链这样

<sec:http pattern="/login.html" security="none" /> 

这似乎喜欢的事，可以解决在负载平衡器的一部分，但我没有太多的经验设置SSL。任何帮助表示赞赏。

Answer 1

您的ELB接受443和80上的连接，但它会终止SSL并仅在80上联系您的代码。SSL基本上是从浏览器到ELB。 ELB到Beanstalk上的后端代码始终为80.

因此，任何期望基于传入协议匹配的规则都不起作用。相反，您应该使用此标题“X-Forwarded-Proto：”（将由ELB设置），然后执行转发规则。