Aktualisieren eines HTTPS-Listeners für Ihren Application Load Balancer

Nach der Erstellung eines HTTPS-Listeners können Sie das Standardzertifikat ersetzen, die Zertifikatliste aktualisieren oder die Sicherheitsrichtlinie ersetzen.

Ersetzen des Standardzertifikats

Sie können das Standardzertifikat für den Listener mit den folgenden Schritten ersetzen. Weitere Informationen finden Sie unter Standardzertifikat.

Console

Um das Standardzertifikat zu ersetzen

1. Öffnen Sie die EC2 Amazon-Konsole unter https://console.aws.amazon.com/ec2/.

2. Wählen Sie im Navigationsbereich Load Balancers aus.

3. Wählen Sie den Load Balancer aus.

4. Wählen Sie auf der Registerkarte Listener und Regeln den Text in der Spalte Protokoll: Port aus, um die Detailseite für den Listener zu öffnen.

5. Wählen Sie auf der Registerkarte Zertifikate die Option Standard ändern aus.

6. Wählen Sie in der Tabelle ACM- und IAM-Zertifikate ein neues Standardzertifikat aus.

7. (Optional) Standardmäßig wählen wir „Vorheriges Standardzertifikat zur Listener-Zertifikatsliste hinzufügen“ aus. Es wird empfohlen, diese Option aktiviert zu lassen, es sei denn, Sie haben derzeit keine Listener-Zertifikate für SNI und verlassen sich auf die Wiederaufnahme der TLS-Sitzung.

8. Wählen Sie Als Standard speichern aus.

AWS CLI

Um das Standardzertifikat zu ersetzen

Verwenden Sie den Befehl modify-listener.

aws elbv2 modify-listener \
    --listener-arn listener-arn \
    --certificates CertificateArn=new-default-certificate-arn

CloudFormation

Um das Standardzertifikat zu ersetzen

Aktualisieren Sie das AWS::ElasticLoadBalancingV2::Listener.

Resources:
  myHTTPSListener:
    Type: 'AWS::ElasticLoadBalancingV2::Listener'
    Properties: 
      LoadBalancerArn: !Ref myLoadBalancer
      Protocol: HTTPS
      Port: 443
      DefaultActions:
        - Type: "forward"
          TargetGroupArn: !Ref myTargetGroup
      SslPolicy: ELBSecurityPolicy-TLS13-1-2-2021-06
      Certificates: 
        - CertificateArn: new-default-certificate-arn

Hinzufügen von Zertifikaten zu einer Zertifikatliste

Sie können der Zertifikatliste für den Listener mit den folgenden Schritten Zertifikate hinzufügen. Wenn Sie den Listener mit dem erstellt haben AWS Management Console, haben wir das Standardzertifikat für Sie zur Zertifikatsliste hinzugefügt. Andernfalls ist die Zertifikatsliste leer. Durch das Hinzufügen des Standardzertifikats zur Zertifikatsliste wird sichergestellt, dass dieses Zertifikat mit dem SNI-Protokoll verwendet wird, auch wenn es als Standardzertifikat ersetzt wird. Weitere Informationen finden Sie unter SSL-Zertifikate für Ihren Application Load Balancer.

Console

Um Zertifikate zur Zertifikatsliste hinzuzufügen

1. Öffnen Sie die EC2 Amazon-Konsole unter https://console.aws.amazon.com/ec2/.

2. Wählen Sie im Navigationsbereich Load Balancers aus.

3. Wählen Sie den Load Balancer aus.

4. Wählen Sie auf der Registerkarte Listener und Regeln den Text in der Spalte Protokoll: Port aus, um die Detailseite für den Listener zu öffnen.

5. Wählen Sie die Registerkarte Certificates (Zertifikate) aus.

6. Um das Standardzertifikat zur Liste hinzuzufügen, wählen Sie Standard zur Liste hinzufügen.

7. Gehen Sie wie folgt vor, um der Liste nicht standardmäßige Zertifikate hinzuzufügen:

   1. Wählen Sie Zertifikat hinzufügen aus.

   2. Um Zertifikate hinzuzufügen, die bereits von ACM oder IAM verwaltet werden, wählen Sie die Kontrollkästchen für die Zertifikate und dann die Option Schließen Sie die unten angeführten als ausstehend ein aus.

   3. Um ein Zertifikat hinzuzufügen, das nicht von ACM oder IAM verwaltet wird, wählen Sie Zertifikat importieren, füllen Sie das Formular aus und wählen Sie Importieren aus.

   4. Wählen Sie Ausstehende Zertifikate hinzufügen aus.

AWS CLI

Um der Zertifikatsliste ein Zertifikat hinzuzufügen

Verwenden Sie den add-listener-certificates-Befehl.

aws elbv2 add-listener-certificates \
    --listener-arn listener-arn \
    --certificates \
        CertificateArn=certificate-arn-1 \
        CertificateArn=certificate-arn-2 \
        CertificateArn=certificate-arn-3

CloudFormation

Um Zertifikate zur Zertifikatsliste hinzuzufügen

Definieren Sie eine Ressource des Typs AWS::ElasticLoadBalancingV2::ListenerCertificate.

Resources: 
  myCertificateList:
    Type: 'AWS::ElasticLoadBalancingV2::ListenerCertificate'
    Properties:
      ListenerArn: !Ref myTLSListener
      Certificates:
        - CertificateArn: "certificate-arn-1"
        - CertificateArn: "certificate-arn-2"
        - CertificateArn: "certificate-arn-3"

Entfernen eines Zertifikats aus der Zertifikatliste

Sie können mit den folgenden Schritten Zertifikate aus der Zertifikatsliste für einen HTTPS-Listener entfernen. Nachdem Sie ein Zertifikat entfernt haben, kann der Listener mit diesem Zertifikat keine Verbindungen mehr herstellen. Um sicherzustellen, dass Clients nicht beeinträchtigt werden, fügen Sie der Liste ein neues Zertifikat hinzu und stellen Sie sicher, dass die Verbindungen funktionieren, bevor Sie ein Zertifikat aus der Liste entfernen.

Informationen zum Entfernen des Standardzertifikats für einen TLS-Listener finden Sie unter Ersetzen des Standardzertifikats.

Console

Um Zertifikate aus der Zertifikatsliste zu entfernen

1. Öffnen Sie die EC2 Amazon-Konsole unter https://console.aws.amazon.com/ec2/.

2. Wählen Sie im Navigationsbereich Load Balancers aus.

3. Wählen Sie den Load Balancer aus.

4. Wählen Sie auf der Registerkarte Listener und Regeln den Text in der Spalte Protokoll: Port aus, um die Detailseite für den Listener zu öffnen.

5. Aktivieren Sie auf der Registerkarte Zertifikate die Kontrollkästchen für die Zertifikate und wählen Sie Entfernen aus.

6. Wenn Sie zur Bestätigung aufgefordert werden, geben Sie confirm ein und wählen Sie dann Entfernen.

AWS CLI

Um ein Zertifikat aus der Zertifikatsliste zu entfernen

Verwenden Sie den remove-listener-certificates-Befehl.

aws elbv2 remove-listener-certificates \
    --listener-arn listener-arn \
    --certificates CertificateArn=certificate-arn

Aktualisieren der Sicherheitsrichtlinie

Wenn Sie einen HTTPS-Listener erstellen, können Sie die Sicherheitsrichtlinie auswählen, die Ihre Anforderungen erfüllt. Wenn eine neue Sicherheitsrichtlinie hinzugefügt wird, können Sie Ihren HTTPS-Listener aktualisieren, sodass die neue Sicherheitsrichtlinie verwendet wird. Application Load Balancer unterstützen keine benutzerdefinierten Sicherheitsrichtlinien. Weitere Informationen finden Sie unter Sicherheitsrichtlinien für Ihren Application Load Balancer.

Die Aktualisierung der Sicherheitsrichtlinie kann zu Störungen führen, wenn der Load Balancer ein hohes Datenverkehrsvolumen verarbeitet. Um die Wahrscheinlichkeit von Störungen zu verringern, wenn Ihr Load Balancer ein hohes Datenverkehrsvolumen verarbeitet, richten Sie einen zusätzlichen Load Balancer ein, der Sie bei der Bewältigung des Datenverkehrs unterstützt, oder fordern Sie eine LCU-Reservierung an.

Verwenden von FIPS-Richtlinien auf Ihrem Application Load Balancer

Alle sicheren Listener, die an einen Application Load Balancer angeschlossen sind, müssen entweder FIPS-Sicherheitsrichtlinien oder Nicht-FIPS-Sicherheitsrichtlinien verwenden; sie können nicht gemischt werden. Wenn ein vorhandener Application Load Balancer über zwei oder mehr Listener verfügt, die Nicht-FIPS-Richtlinien verwenden, und Sie möchten, dass die Listener stattdessen FIPS-Sicherheitsrichtlinien verwenden, entfernen Sie alle Listener, bis nur noch einer vorhanden ist. Ändern Sie die Sicherheitsrichtlinie des Listeners in FIPS und erstellen Sie dann weitere Listener mithilfe von FIPS-Sicherheitsrichtlinien. Alternativ können Sie einen neuen Application Load Balancer mit neuen Listenern erstellen, die nur FIPS-Sicherheitsrichtlinien verwenden.

Console

Um die Sicherheitsrichtlinie zu aktualisieren

1. Öffnen Sie die EC2 Amazon-Konsole unter https://console.aws.amazon.com/ec2/.

2. Wählen Sie im Navigationsbereich Load Balancers aus.

3. Wählen Sie den Load Balancer aus.

4. Wählen Sie auf der Registerkarte Listener und Regeln den Text in der Spalte Protokoll: Port aus, um die Detailseite für den Listener zu öffnen.

5. Wählen Sie auf der Registerkarte Sicherheit die Option Einstellungen für sichere Listener bearbeiten aus.

6. Wählen Sie im Abschnitt Einstellungen für sichere Listener unter Sicherheitsrichtlinie eine neue Sicherheitsrichtlinie aus.

7. Wählen Sie Änderungen speichern aus.

AWS CLI

Um die Sicherheitsrichtlinie zu aktualisieren

Verwenden Sie den Befehl modify-listener.

aws elbv2 modify-listener \
    --listener-arn listener-arn \
    --ssl-policy ELBSecurityPolicy-TLS13-1-2-Res-2021-06

CloudFormation

Um die Sicherheitsrichtlinie zu aktualisieren

Aktualisieren Sie die AWS::ElasticLoadBalancingV2::ListenerRessource mit der neuen Sicherheitsrichtlinie.

Resources:
  myHTTPSListener:
    Type: 'AWS::ElasticLoadBalancingV2::Listener'
    Properties: 
      LoadBalancerArn: !Ref myLoadBalancer
      Protocol: HTTPS
      Port: 443
      DefaultActions:
        - Type: "forward"
          TargetGroupArn: !Ref myTargetGroup
      SslPolicy: ELBSecurityPolicy-TLS13-1-2-2021-06
      Certificates: 
        - CertificateArn: certificate-arn

Änderung des HTTP-Headers

Durch die Änderung des HTTP-Headers können Sie bestimmte vom Load Balancer generierte Header umbenennen, bestimmte Antwortheader einfügen und den Serverantwortheader deaktivieren. Application Load Balancers unterstützen die Header-Änderung sowohl für Anforderungs- als auch für Antwortheader.

Weitere Informationen finden Sie unter Aktivieren Sie die HTTP-Header-Änderung für Ihren Application Load Balancer.