Erstellen Sie einen HTTPS Listener für Ihren Application Load Balancer - Elastic Load Balancing
VoraussetzungenFügen Sie einen HTTPS Listener hinzu

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellen Sie einen HTTPS Listener für Ihren Application Load Balancer

Ein Listener überprüft Verbindungsanforderungen. Sie definieren einen Listener, wenn Sie Ihren Load Balancer erstellen, und Sie können Listener jederzeit zu Ihrem Load Balancer hinzufügen.

Um einen HTTPS Listener zu erstellen, müssen Sie mindestens ein SSLServerzertifikat auf Ihrem Load Balancer bereitstellen. Der Load Balancer verwendet ein Serverzertifikat, um die Frontend-Verbindung zu beenden und dann Anfragen von Clients zu entschlüsseln, bevor er sie an die Ziele sendet. Sie müssen auch eine Sicherheitsrichtlinie angeben, die verwendet wird, um sichere Verbindungen zwischen Clients und dem Load Balancer auszuhandeln.

Wenn Sie verschlüsselten Datenverkehr an Ziele weiterleiten müssen, ohne dass der Load Balancer ihn entschlüsselt, können Sie einen Network Load Balancer oder Classic Load Balancer mit einem TCP Listener auf Port 443 erstellen. Mit einem TCP Listener leitet der Load Balancer verschlüsselten Datenverkehr an die Ziele weiter, ohne ihn zu entschlüsseln.

Die Informationen auf dieser Seite helfen Ihnen dabei, einen HTTPS Listener für Ihren Load Balancer zu erstellen. Informationen zum Hinzufügen eines HTTP Listeners zu Ihrem Load Balancer finden Sie unter. Erstellen Sie einen HTTP Listener für Ihren Application Load Balancer

Voraussetzungen

  • Um einen HTTPS Listener zu erstellen, müssen Sie ein Zertifikat und eine Sicherheitsrichtlinie angeben. Der Load Balancer verwendet ein Zertifikat, um die Verbindung zu beenden und Anforderungen von Clients zu entschlüsseln, bevor er sie an Ziele weiterleitet. Der Load Balancer verwendet die Sicherheitsrichtlinie bei der Aushandlung von SSL Verbindungen mit den Clients.

    Application Load Balancer unterstützen ED25519 keine Schlüssel.

  • Um eine Weiterleitungsaktion zur Standard-Listener-Regel hinzuzufügen, müssen Sie eine verfügbare Zielgruppe angeben. Weitere Informationen finden Sie unter Erstellen Sie eine Zielgruppe für Ihren Application Load Balancer.

  • Sie können dieselbe Zielgruppe in mehreren Listenern angeben, aber diese Listener müssen demselben Load Balancer angehören. Um eine Zielgruppe mit einem Load Balancer zu verwenden, müssen Sie sicherstellen, dass sie nicht von einem Listener verwendet wird, der einem anderen Load Balancer angehört.

Fügen Sie einen HTTPS Listener hinzu

Sie konfigurieren einen Listener mit einem Protokoll und einem Port für Verbindungen von Clients zum Load Balancer und einer Zielgruppe für die standardmäßige Listener-Regel. Weitere Informationen finden Sie unter Listener-Konfiguration.

Um einen HTTPS Listener mit der Konsole hinzuzufügen

  1. Öffnen Sie die EC2 Amazon-Konsole unter https://console.aws.amazon.com/ec2/.

  2. Wählen Sie im Navigationsbereich Load Balancers aus.

  3. Wählen Sie den Load Balancer aus.

  4. Wählen Sie auf der Registerkarte Listener und Regeln die Option Listener hinzufügen aus.

  5. Wählen Sie für Protokoll: Port den Standardport aus HTTPSund behalten Sie ihn bei, oder geben Sie einen anderen Port ein.

  6. (Optional) Um die Authentifizierung zu aktivieren, wählen Sie unter Authentifizierung die Option OpenID oder Amazon Cognito verwenden aus und geben Sie die angeforderten Informationen ein. Weitere Informationen finden Sie unter Authentifizieren von Benutzern mithilfe eines Application Load Balancers.

  7. Führen Sie für Default actions (Standardaktionen) einen der folgenden Schritte aus:

    • Zu Zielgruppen weiterleiten – Wählen Sie eine oder mehrere Zielgruppen aus, an die der Datenverkehr weitergeleitet werden soll. Um Zielgruppen hinzuzufügen, wählen Sie Zielgruppe hinzufügen aus. Wenn Sie mehr als eine Zielgruppe verwenden, wählen Sie für jede Zielgruppe eine Gewichtung aus und überprüfen Sie den zugehörigen Prozentsatz. Sie müssen die Stickiness auf Gruppenebene für eine Regel aktivieren, wenn Sie die Stickiness für eine oder mehrere Zielgruppen aktiviert haben.

    • Umleiten zu URL — Geben Sie anURL, an welche Client-Anfragen umgeleitet werden sollen. Dies kann geschehen, indem Sie jeden Teil einzeln auf der Registerkarte URITeile eingeben oder indem Sie die vollständige Adresse auf der URL Registerkarte Vollständig eingeben. Für den Statuscode können Sie je nach Bedarf entweder temporäre (HTTP302) oder permanente (HTTP301) Weiterleitungen konfigurieren.

    • Feststehende Antwort zurückgeben – Geben Sie den Antwortcode an, der bei verworfenen Client-Anforderungen zurückgegeben wird. Darüber hinaus können Sie den Inhaltstyp und den Antworttext angeben. Diese sind jedoch nicht erforderlich.

  8. Wir empfehlen, dass Sie für Sicherheitsrichtlinie immer die neueste vordefinierte Sicherheitsrichtlinie verwenden.

  9. Für das TLSZertifikat DefaultSSL/sind die folgenden Optionen verfügbar:

    • Wenn Sie ein Zertifikat mithilfe von erstellt oder importiert haben AWS Certificate Manager, wählen Sie Von ACM und dann das Zertifikat unter Zertifikat auswählen aus.

    • Wenn Sie ein Zertifikat mit importiert habenIAM, wählen Sie Von IAM und dann unter Zertifikat auswählen Ihr Zertifikat aus.

    • Wenn Sie ein Zertifikat importieren möchten, das in Ihrer Region jedoch nicht verfügbar ACM ist, wählen Sie Importieren und dann Nach ausIAM. Geben Sie im Feld Zertifikatname den Namen des Zertifikats ein. Kopieren Sie unter Privates Zertifikat den Inhalt der privaten Schlüsseldatei (PEM-codiert) und fügen Sie ihn ein. Kopieren Sie im Feld Zertifikatstext den Inhalt der Zertifikatsdatei mit öffentlichem Schlüssel (PEM-kodiert) und fügen Sie ihn ein. Kopieren Sie in Certificate Chain den Inhalt der Zertifikatskettendatei (PEM-kodiert) und fügen Sie ihn ein, es sei denn, Sie verwenden ein selbstsigniertes Zertifikat und es ist nicht wichtig, dass Browser das Zertifikat implizit akzeptieren.

  10. (Optional) Um die gegenseitige Authentifizierung zu aktivieren, aktivieren Sie unter Verwaltung von Client-Zertifikaten die Option Gegenseitige Authentifizierung (m). TLS

    Wenn diese Option aktiviert ist, ist der TLS Standardmodus für Gegenseitigkeit Passthrough.

    Wenn Sie „Mit Trust Store verifizieren“ wählen:

    • Standardmäßig werden Verbindungen mit abgelaufenen Client-Zertifikaten abgelehnt. Um dieses Verhalten zu ändern, erweitern Sie Erweiterte TLS M-Einstellungen und wählen Sie dann unter Ablauf des Client-Zertifikats die Option Abgelaufene Client-Zertifikate zulassen aus.

    • Wählen Sie unter Trust Store einen vorhandenen Trust Store aus, oder wählen Sie Neuer Trust Store aus.

      • Wenn Sie Neuer Vertrauensspeicher ausgewählt haben, geben Sie einen Namen für den Vertrauensspeicher, den Standort der URIS3-Zertifizierungsstelle und optional einen Speicherort für die URIS3-Zertifikatssperrliste an.

  11. Wählen Sie Save (Speichern) aus.

Um einen HTTPS Listener hinzuzufügen, verwenden Sie den AWS CLI

Verwenden Sie den Befehl create-listener, um den Listener und die Standardregel zu erstellen, und den Befehl create-rule, um zusätzliche Listener-Regeln zu definieren.