Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
TLSListener für Ihren Network Load Balancer
Um einen TLS Listener verwenden zu können, müssen Sie mindestens ein Serverzertifikat auf Ihrem Load Balancer bereitstellen. Der Load Balancer verwendet ein Serverzertifikat, um die Frontend-Verbindung zu beenden und dann Anfragen von Clients zu entschlüsseln, bevor er sie an die Ziele sendet. Beachten Sie, dass Sie, wenn Sie verschlüsselten Datenverkehr an die Ziele weiterleiten müssen, ohne dass der Load Balancer ihn entschlüsselt, einen TCP Listener auf Port 443 erstellen sollten, anstatt einen Listener zu erstellen. TLS Der Load Balancer leitet die Anforderung unverändert an das Ziel weiter, ohne sie zu entschlüsseln.
Elastic Load Balancing verwendet eine TLS Verhandlungskonfiguration, die als Sicherheitsrichtlinie bezeichnet wird, um TLS Verbindungen zwischen einem Client und dem Load Balancer auszuhandeln. Eine Sicherheitsrichtlinie ist eine Kombination aus Protokollen und Verschlüsselungen. Das Protokoll stellt eine sichere Verbindung zwischen einem Client und einem Server her und stellt sicher, dass alle Daten, die zwischen dem Client und Ihres Load Balancers übertragen werden, privat sind. Ein Verschlüsselungsverfahren ist ein Algorithmus, der eine kodierte Nachricht mithilfe von Verschlüsselungsschlüsseln erstellt. Protokolle verwenden mehrere Verschlüsselungsverfahren zum Verschlüsseln von Daten über das Internet. Während der Verbindungsaushandlung präsentieren der Client und der Load Balancer eine Liste von Verschlüsselungsverfahren und Protokollen, die sie jeweils unterstützen, nach Priorität sortiert. Als sichere Verbindung wird die erste Verschlüsselung auf der Liste des Servers ausgewählt, die mit einem der Verschlüsselungsverfahren des Clients übereinstimmt.
Network Load Balancer unterstützen keine TLS Neuverhandlung oder gegenseitige TLS Authentifizierung (m). TLS Um m zu TLS unterstützen, erstellen Sie einen TCP Listener anstelle eines Listeners. TLS Der Load Balancer leitet die Anfrage unverändert weiter, sodass Sie m TLS auf dem Ziel implementieren können.
Informationen zum Erstellen eines TLS Listeners finden Sie unter. Hinzufügen eines Listeners Verwandte Demos finden Sie unter TLS Support für Network Load Balancer
Serverzertifikate
Der Load Balancer erfordert X.509-Zertifikate (Serverzertifikat). Zertifikate sind eine digitale Methode zur Identifizierung. Sie werden von einer Zertifizierungsstelle (Certificate Authority, CA) ausgestellt. Ein Zertifikat enthält Identifizierungsdaten, einen Gültigkeitszeitraum, den öffentlichen Schlüssel, eine Seriennummer und die digitale Signatur des Ausstellers.
Wenn Sie ein Zertifikat zur Verwendung mit Ihrem Load Balancer erstellen, müssen Sie einen Domainnamen angeben. Der Domainname auf dem Zertifikat muss mit dem Datensatz für den benutzerdefinierten Domainnamen übereinstimmen, damit wir die Verbindung überprüfen können. TLS Stimmen sie nicht überein, wird der Datenverkehr nicht verschlüsselt.
Sie müssen einen vollqualifizierten Domainnamen (FQDN) für Ihr Zertifikat angeben, z. B. www.example.com
oder einen Apex-Domänennamen wieexample.com
. Sie können auch ein Sternchen (*) als Platzhalter verwenden, um mehrere Websitenamen in derselben Domain zu schützen. Wenn Sie ein Platzhalter-Zertifikat anfordern, muss sich das Sternchen (*) ganz links im Domainnamen befinden und es kann nur eine Subdomain-Ebene geschützt werden. *.example.com
schützt beispielsweise corp.example.com
und images.example.com
, aber es kann test.login.example.com
nicht schützen. Beachten Sie außerdem, dass *.example.com
nur die Subdomains von example.com
schützt, jedoch nicht die bare- oder apex-Domain (example.com
). Der Platzhaltername wird im Feld Subjekt und in der Erweiterung Alternativer Subjekt-Name des ACM-Zertifikats angezeigt. Weitere Informationen zum Anfordern öffentlicher Zertifikate finden Sie unter Anfordern eines öffentlichen Zertifikats im AWS Certificate Manager -Benutzerhandbuch.
Wir empfehlen Ihnen, Zertifikate für Ihre Load Balancer mithilfe von AWS Certificate Manager () ACM
Alternativ können Sie TLS Tools verwenden, um eine Zertifikatssignierungsanforderung (CSR) zu erstellen, diese dann von einer Zertifizierungsstelle CSR signieren zu lassen, um ein Zertifikat zu erstellen, und dann das Zertifikat in AWS Identity and Access Management (IAM) importieren ACM oder das Zertifikat hochladen. Weitere Informationen finden Sie unter Importieren von Zertifikaten im AWS Certificate Manager Benutzerhandbuch oder Arbeiten mit Serverzertifikaten im IAMBenutzerhandbuch.
Unterstützte Schlüsselalgorithmen
RSA1024-Bit
RSA2048-Bit
RSA3072 Bit
ECDSA256-Bit
ECDSA384 Bit
ECDSA521 Bit
Standardzertifikat
Wenn Sie einen TLS Listener erstellen, müssen Sie genau ein Zertifikat angeben. Dieses Zertifikat wird als Standardzertifikat bezeichnet. Sie können das Standardzertifikat ersetzen, nachdem Sie den TLS Listener erstellt haben. Weitere Informationen finden Sie unter Ersetzen des Standardzertifikats.
Wenn Sie zusätzliche Zertifikate in einer Zertifikatsliste angeben, wird das Standardzertifikat nur verwendet, wenn ein Client eine Verbindung herstellt, ohne das Server Name Indication (SNI) -Protokoll zur Angabe eines Hostnamens zu verwenden, oder wenn die Zertifikatsliste keine passenden Zertifikate enthält.
Wenn Sie keine zusätzlichen Zertifikate angeben, aber mehrere sichere Anwendungen über einen einzigen Load Balancer hosten müssen, können Sie ein Platzhalterzertifikat verwenden oder Ihrem Zertifikat für jede weitere Domäne einen alternativen Betreffnamen (SAN) hinzufügen.
Zertifikatliste
Nachdem Sie einen TLS Listener erstellt haben, hat er ein Standardzertifikat und eine leere Zertifikatsliste. Optional können Sie der Zertifikatliste für den Listener Zertifikate hinzufügen. Ein Load Balancer kann dann mehrere Domains über denselben Port unterstützen und ein anderes Zertifikat für jede Domain bereitstellen. Weitere Informationen finden Sie unter Hinzufügen von Zertifikaten zu einer Zertifikatliste.
Der Load Balancer verwendet einen intelligenten Algorithmus zur Zertifikatsauswahl mit Unterstützung für. SNI Wenn der von einem Client bereitgestellte Hostname nur mit einem Zertifikat in der Zertifikatliste übereinstimmt, wählt der Load Balancer das entsprechende Zertifikat aus. Wenn ein von einem Client bereitgestellter Hostname mehreren Zertifikaten in der Zertifikatliste entspricht, wählt der Load Balancer das beste vom Client unterstützte Zertifikat. Die Auswahl des Zertifikats basiert auf den folgenden Kriterien in der angegebenen Reihenfolge:
-
Hashing-Algorithmus (lieber SHA alsMD5)
-
Schlüssellänge (der längste Schlüssel wird bevorzugt)
-
Gültigkeitszeitraum
Die Load Balancer-Zugriffsprotokolleinträge enthalten den vom Client angegebenen Hostnamen und das dem Client präsentierte Zertifikat. Weitere Informationen finden Sie unter Zugriffsprotokolleinträge.
Zertifikatserneuerung
Jedes Zertifikat verfügt über einen Gültigkeitszeitraum. Sie müssen sicherstellen, dass Sie jedes Zertifikat für Ihren Load Balancer vor dem Ablauf des Gültigkeitszeitraum erneuern oder ersetzen. Dies schließt das Standardzertifikat und Zertifikate in der Zertifikatliste ein. Das Verlängern oder Ersetzen eines Zertifikats wirkt sich nicht auf Anforderungen aus, die bereits verarbeitet werden, von einem Load Balancer-Knoten empfangen wurden und deren Weiterleitung an ein fehlerfreies Ziel aussteht. Nachdem ein Zertifikat verlängert wurde, verwenden neue Anforderungen das verlängerte Zertifikat. Nachdem ein Zertifikat ersetzt wurde, verwenden neue Anforderungen das neue Zertifikat.
Sie können das Verlängern und Ersetzen von Zertifikaten folgendermaßen verwalten:
-
Zertifikate, die von Ihrem Load Balancer bereitgestellt AWS Certificate Manager und dort bereitgestellt werden, können automatisch erneuert werden. ACMversucht, Zertifikate zu erneuern, bevor sie ablaufen. Weitere Informationen finden Sie unter Verwaltete Erneuerung im AWS Certificate Manager -Benutzerhandbuch.
-
Wenn Sie ein Zertifikat in importiert habenACM, müssen Sie das Ablaufdatum des Zertifikats überwachen und es verlängern, bevor es abläuft. Weitere Informationen finden Sie unter Importieren von Zertifikaten im AWS Certificate Manager -Benutzerhandbuch.
-
Wenn Sie ein Zertifikat in importiert habenIAM, müssen Sie ein neues Zertifikat erstellen, das neue Zertifikat in ACM oder importierenIAM, das neue Zertifikat zu Ihrem Load Balancer hinzufügen und das abgelaufene Zertifikat aus Ihrem Load Balancer entfernen.
Sicherheitsrichtlinien
Wenn Sie einen TLS Listener erstellen, müssen Sie eine Sicherheitsrichtlinie auswählen. Sie können die Sicherheitsrichtlinie je nach Bedarf aktualisieren. Weitere Informationen finden Sie unter Aktualisieren der Sicherheitsrichtlinie.
Überlegungen:
-
Die
ELBSecurityPolicy-TLS13-1-2-2021-06
Richtlinie ist die Standardsicherheitsrichtlinie für TLS Listener, die mit dem erstellt wurden. AWS Management Console-
Wir empfehlen die
ELBSecurityPolicy-TLS13-1-2-2021-06
Sicherheitsrichtlinie, die TLS 1.3 beinhaltet und mit TLS 1.2 abwärtskompatibel ist.
-
-
Die
ELBSecurityPolicy-2016-08
Richtlinie ist die Standardsicherheitsrichtlinie für TLS Listener, die mit dem erstellt wurden. AWS CLI -
Sie können die Sicherheitsrichtlinie wählen, die für Front-End-Verbindungen verwendet wird, aber nicht für Back-End-Verbindungen.
-
Wenn Ihr TLS Listener für Backend-Verbindungen eine TLS 1.3-Sicherheitsrichtlinie verwendet, wird die
ELBSecurityPolicy-TLS13-1-0-2021-06
Sicherheitsrichtlinie verwendet. Andernfalls wird dieELBSecurityPolicy-2016-08
-Sicherheitsrichtlinie für Backend-Verbindungen verwendet.
-
-
Um die Compliance- und Sicherheitsstandards zu erfüllen, die die Deaktivierung bestimmter TLS Protokollversionen erfordern, oder um ältere Clients zu unterstützen, die veraltete Verschlüsselungen benötigen, können Sie eine der Sicherheitsrichtlinien verwenden.
ELBSecurityPolicy-TLS-
Sie können Zugriffsprotokolle für Informationen über die an Ihren Network Load Balancer gesendeten TLS Anfragen aktivieren, TLS Datenverkehrsmuster analysieren, Sicherheitsrichtlinien-Upgrades verwalten und Probleme beheben. Aktivieren Sie die Zugriffsprotokollierung für Ihren Load Balancer und überprüfen Sie die entsprechenden Zugriffsprotokolleinträge. Weitere Informationen finden Sie unter Zugriffsprotokolle und Beispielanforderungen für Network Load Balancers. -
Sie können einschränken, welche Sicherheitsrichtlinien Benutzern in Ihrem AWS-Konten Land zur Verfügung stehen, AWS Organizations indem Sie die Elastic Load Balancing Balancing-Bedingungsschlüssel in Ihren IAM bzw. Service Control-Richtlinien (SCPs) verwenden. Weitere Informationen finden Sie unter Richtlinien zur Servicesteuerung (SCPs) im AWS Organizations Benutzerhandbuch
TLS1.3 Sicherheitsrichtlinien
Elastic Load Balancing bietet die folgenden TLS 1.3-Sicherheitsrichtlinien für Network Load Balancer:
-
ELBSecurityPolicy-TLS13-1-2-2021-06
(Empfohlen) -
ELBSecurityPolicy-TLS13-1-2-Res-2021-06
-
ELBSecurityPolicy-TLS13-1-2-Ext1-2021-06
-
ELBSecurityPolicy-TLS13-1-2-Ext2-2021-06
-
ELBSecurityPolicy-TLS13-1-1-2021-06
-
ELBSecurityPolicy-TLS13-1-0-2021-06
-
ELBSecurityPolicy-TLS13-1-3-2021-06
FIPSSicherheitsrichtlinien
Der Federal Information Processing Standard (FIPS) ist ein US-amerikanischer und kanadischer Regierungsstandard, der die Sicherheitsanforderungen für kryptografische Module zum Schutz vertraulicher Informationen festlegt. Weitere Informationen finden Sie unter Federal Information Processing Standard (FIPS) 140
Alle FIPS Richtlinien nutzen das von AWS -LC FIPS validierte kryptografische Modul. Weitere Informationen finden Sie auf der Seite AWS-LC Cryptographic Module auf der Website des NISTCryptographic Module
Elastic Load Balancing bietet die folgenden FIPS Sicherheitsrichtlinien für Network Load Balancer:
-
ELBSecurityPolicy-TLS13-1-3-FIPS-2023-04
-
ELBSecurityPolicy-TLS13-1-2-Res-FIPS-2023-04
-
ELBSecurityPolicy-TLS13-1-2-FIPS-2023-04
(Empfohlen) -
ELBSecurityPolicy-TLS13-1-2-Ext0-FIPS-2023-04
-
ELBSecurityPolicy-TLS13-1-2-Ext1-FIPS-2023-04
-
ELBSecurityPolicy-TLS13-1-2-Ext2-FIPS-2023-04
-
ELBSecurityPolicy-TLS13-1-1-FIPS-2023-04
-
ELBSecurityPolicy-TLS13-1-0-FIPS-2023-04
Von FS unterstützte Richtlinien
Elastic Load Balancing bietet die folgenden von FS (Forward Secrecy) unterstützten Sicherheitsrichtlinien für Network Load Balancer:
-
ELBSecurityPolicy-FS-1-2-Res-2020-10
-
ELBSecurityPolicy-FS-1-2-Res-2019-08
-
ELBSecurityPolicy-FS-1-2-2019-08
-
ELBSecurityPolicy-FS-1-1-2019-08
-
ELBSecurityPolicy-FS-2018-06
TLS1.0 — 1.2 Sicherheitsrichtlinien
Elastic Load Balancing bietet die folgenden Sicherheitsrichtlinien der Versionen TLS 1.0 bis 1.2 für Network Load Balancer:
-
ELBSecurityPolicy-TLS-1-2-Ext-2018-06
-
ELBSecurityPolicy-TLS-1-2-2017-01
-
ELBSecurityPolicy-TLS-1-1-2017-01
-
ELBSecurityPolicy-2016-08
-
ELBSecurityPolicy-TLS-1-0-2015-04
-
ELBSecurityPolicy-2015-05
(identisch mit)ELBSecurityPolicy-2016-08
TLSProtokolle und Chiffren
ALPNRichtlinien
Application-Layer Protocol Negotiation (ALPN) ist eine TLS Erweiterung, die bei den ersten TLS Handshake-Hello-Nachrichten gesendet wird. ALPNermöglicht es der Anwendungsebene, auszuhandeln, welche Protokolle über eine sichere Verbindung verwendet werden sollen, z. B. /1 und /2. HTTP HTTP
Wenn der Client eine ALPN Verbindung initiiert, vergleicht der Load Balancer die ALPN Client-Einstellungsliste mit seiner Richtlinie. ALPN Wenn der Client ein Protokoll aus der ALPN Richtlinie unterstützt, stellt der Load Balancer die Verbindung auf der Grundlage der Präferenzliste der Richtlinie her. ALPN Andernfalls verwendet der Load Balancer nicht. ALPN
Unterstützte Richtlinien ALPN
Die folgenden ALPN Richtlinien werden unterstützt:
HTTP1Only
-
Nur verhandeln HTTP /1. *. Die ALPN Präferenzliste lautet http/1.1, http/1.0.
HTTP2Only
-
HTTPNur verhandeln /2. Die ALPN Präferenzliste ist h2.
HTTP2Optional
-
Bevorzugen Sie HTTP /1. * gegenüber HTTP /2 (was für HTTP /2-Tests nützlich sein kann). Die ALPN Präferenzliste lautet http/1.1, http/1.0, h2.
HTTP2Preferred
-
Lieber HTTP /2 als /1. *. HTTP Die ALPN Präferenzliste ist h2, http/1.1, http/1.0.
None
-
Verhandeln Sie nicht. ALPN Dies ist die Standardeinstellung.
ALPNVerbindungen aktivieren
Sie können ALPN Verbindungen aktivieren, wenn Sie einen TLS Listener erstellen oder ändern. Weitere Informationen erhalten Sie unter Hinzufügen eines Listeners und Aktualisieren Sie die ALPN Richtlinie.