Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
TLS-Listener für Ihren Network Load Balancer
Um einen TLS-Listener zu verwenden, müssen Sie auf dem Load Balancer mindestens ein Serverzertifikat bereitstellen. Der Load Balancer verwendet ein Serverzertifikat, um die Frontend-Verbindung zu beenden und dann Anfragen von Clients zu entschlüsseln, bevor er sie an die Ziele sendet. Beachten Sie, dass Sie, wenn Sie verschlüsselten Datenverkehr an die Ziele weiterleiten müssen, ohne dass der Load Balancer ihn entschlüsselt, einen TCP-Listener auf Port 443 erstellen, anstatt einen TLS-Listener zu erstellen. Der Load Balancer leitet die Anforderung unverändert an das Ziel weiter, ohne sie zu entschlüsseln.
Elastic Load Balancing verwendet eine TLS-Aushandlungskonfiguration, die als Sicherheitsrichtlinie bezeichnet wird, um TLS-Verbindungen zwischen einem Client und dem Load Balancer auszuhandeln. Eine Sicherheitsrichtlinie ist eine Kombination aus Protokollen und Verschlüsselungen. Das Protokoll stellt eine sichere Verbindung zwischen einem Client und einem Server her und stellt sicher, dass alle Daten, die zwischen dem Client und Ihres Load Balancers übertragen werden, privat sind. Ein Verschlüsselungsverfahren ist ein Algorithmus, der eine kodierte Nachricht mithilfe von Verschlüsselungsschlüsseln erstellt. Protokolle verwenden mehrere Verschlüsselungsverfahren zum Verschlüsseln von Daten über das Internet. Während der Verbindungsaushandlung präsentieren der Client und der Load Balancer eine Liste von Verschlüsselungsverfahren und Protokollen, die sie jeweils unterstützen, nach Priorität sortiert. Als sichere Verbindung wird die erste Verschlüsselung auf der Liste des Servers ausgewählt, die mit einem der Verschlüsselungsverfahren des Clients übereinstimmt.
Network Load Balancers unterstützen keine TLS-Neuaushandlung oder gegenseitige TLS-Authentifizierung (mTLS). Für mTLS-Unterstützung erstellen Sie einen TCP-Listener anstelle eines TLS-Listeners. Der Load Balancer leitet die Anforderung unverändert weiter, sodass Sie mTLS auf dem Ziel implementieren können.
Informationen zum Erstellen eines TLS-Listeners finden Sie unter Hinzufügen eines Listeners. Verwandte Demos finden Sie unter TLS-Unterstützung für Network Load Balancer
Serverzertifikate
Der Load Balancer erfordert X.509-Zertifikate (Serverzertifikat). Zertifikate sind eine digitale Methode zur Identifizierung. Sie werden von einer Zertifizierungsstelle (Certificate Authority, CA) ausgestellt. Ein Zertifikat enthält Identifizierungsdaten, einen Gültigkeitszeitraum, den öffentlichen Schlüssel, eine Seriennummer und die digitale Signatur des Ausstellers.
Wenn Sie ein Zertifikat zur Verwendung mit Ihrem Load Balancer erstellen, müssen Sie einen Domainnamen angeben. Der Domainname auf dem Zertifikat muss mit dem Datensatz für den benutzerdefinierten Domainnamen übereinstimmen, damit wir die TLS-Verbindung überprüfen können. Stimmen sie nicht überein, wird der Datenverkehr nicht verschlüsselt.
Sie müssen einen vollqualifizierten Domainnamen (Fully Qualified Domain Name, FQDN) für Ihr Zertifikat wie www.example.com
oder einen Apex-Domainnamen wie example.com
angeben. Sie können auch ein Sternchen (*) als Platzhalter verwenden, um mehrere Websitenamen in derselben Domain zu schützen. Wenn Sie ein Platzhalter-Zertifikat anfordern, muss sich das Sternchen (*) ganz links im Domainnamen befinden und es kann nur eine Subdomain-Ebene geschützt werden. *.example.com
schützt beispielsweise corp.example.com
und images.example.com
, aber es kann test.login.example.com
nicht schützen. Beachten Sie außerdem, dass *.example.com
nur die Subdomains von example.com
schützt, jedoch nicht die bare- oder apex-Domain (example.com
). Der Platzhaltername wird im Feld Subjekt und in der Erweiterung Alternativer Subjekt-Name des ACM-Zertifikats angezeigt. Weitere Informationen zum Anfordern öffentlicher Zertifikate finden Sie unter Anfordern eines öffentlichen Zertifikats im AWS Certificate Manager-Benutzerhandbuch.
Wir empfehlen, Zertifikate für Ihre Load Balancers mit AWS Certificate Manager (ACM)
Alternativ können Sie mit TLS-Tools eine Zertifikatssignierungsanforderung (Certificate Signing Request, CSR) erstellen, die CSR dann von einer CA signieren lassen, um ein Zertifikat zu erstellen, das Zertifikat dann in ACM zu importieren oder in AWS Identity and Access Management (IAM) hochzuladen. Weitere Informationen finden Sie unter Importieren von Zertifikaten im AWS Certificate Manager-Benutzerhandbuch oder Arbeiten mit Serverzertifikaten im IAM-Benutzerhandbuch.
Unterstützte Schlüsselalgorithmen
RSA 1024-Bit
RSA 2048-Bit
RSA 3072-Bit
ECDSA 256-Bit
ECDSA 384-Bit
ECDSA 521-Bit
Standardzertifikat
Wenn Sie einen TLS-Listener erstellen, müssen Sie genau ein Zertifikat angeben. Dieses Zertifikat wird als Standardzertifikat bezeichnet. Sie können das Standardzertifikat ersetzen, nachdem Sie den TLS-Listener erstellt haben. Weitere Informationen finden Sie unter Ersetzen des Standardzertifikats.
Wenn Sie weitere Zertifikate in einer Zertifikatliste angeben, wird das Standardzertifikat nur verwendet, wenn ein Client eine Verbindung ohne SNI- (Server Name Indication)-Protokoll herstellt, um einen Hostnamen anzugeben, oder falls keine passenden Zertifikate in der Zertifikatliste gefunden werden.
Wenn Sie keine weiteren Zertifikate angeben, aber mehrere sichere Anwendungen über einen einzelnen Load Balancer hosten müssen, können Sie ein Platzhalterzertifikat verwenden oder Ihrem Zertifikat einen SAN (Subject Alternative Name) für jede weitere Domain hinzufügen.
Zertifikatliste
Nach der Erstellung eines TLS-Listeners verfügt dieser über ein Standardzertifikat und eine leere Zertifikatliste. Optional können Sie der Zertifikatliste für den Listener Zertifikate hinzufügen. Ein Load Balancer kann dann mehrere Domains über denselben Port unterstützen und ein anderes Zertifikat für jede Domain bereitstellen. Weitere Informationen finden Sie unter Hinzufügen von Zertifikaten zu einer Zertifikatliste.
Der Load Balancer verwendet einen intelligenten Algorithmus für die Zertifikatsauswahl, bei dem SNI unterstützt wird. Wenn der von einem Client bereitgestellte Hostname nur mit einem Zertifikat in der Zertifikatliste übereinstimmt, wählt der Load Balancer das entsprechende Zertifikat aus. Wenn ein von einem Client bereitgestellter Hostname mehreren Zertifikaten in der Zertifikatliste entspricht, wählt der Load Balancer das beste vom Client unterstützte Zertifikat. Die Auswahl des Zertifikats basiert auf den folgenden Kriterien in der angegebenen Reihenfolge:
-
Hash-Algorithmus (SHA gegenüber MD5 bevorzugt)
-
Schlüssellänge (der längste Schlüssel wird bevorzugt)
-
Gültigkeitszeitraum
Die Load Balancer-Zugriffsprotokolleinträge enthalten den vom Client angegebenen Hostnamen und das dem Client präsentierte Zertifikat. Weitere Informationen finden Sie unter Zugriffsprotokolleinträge.
Zertifikatserneuerung
Jedes Zertifikat verfügt über einen Gültigkeitszeitraum. Sie müssen sicherstellen, dass Sie jedes Zertifikat für Ihren Load Balancer vor dem Ablauf des Gültigkeitszeitraum erneuern oder ersetzen. Dies schließt das Standardzertifikat und Zertifikate in der Zertifikatliste ein. Das Verlängern oder Ersetzen eines Zertifikats wirkt sich nicht auf Anforderungen aus, die bereits verarbeitet werden, von einem Load Balancer-Knoten empfangen wurden und deren Weiterleitung an ein fehlerfreies Ziel aussteht. Nachdem ein Zertifikat verlängert wurde, verwenden neue Anforderungen das verlängerte Zertifikat. Nachdem ein Zertifikat ersetzt wurde, verwenden neue Anforderungen das neue Zertifikat.
Sie können das Verlängern und Ersetzen von Zertifikaten folgendermaßen verwalten:
-
Zertifikate, die von AWS Certificate Manager auf dem Load Balancer bereitgestellt werden, können automatisch erneuert werden. ACM versucht, die Zertifikate zu verlängern, bevor sie ablaufen. Weitere Informationen finden Sie unter Verwaltete Erneuerung im AWS Certificate Manager-Benutzerhandbuch.
-
Wenn Sie ein Zertifikat in ACM importiert haben, müssen Sie das Ablaufdatum des Zertifikats überwachen und es vor dem Ablauf verlängern. Weitere Informationen finden Sie unter Importieren von Zertifikaten im AWS Certificate Manager-Benutzerhandbuch.
-
Wenn Sie ein Zertifikat in IAM importiert haben, müssen Sie ein neues Zertifikat erstellen, das neue Zertifikat in ACM oder IAM importieren, es dem Load Balancer hinzufügen und das abgelaufene Zertifikat aus dem Load Balancer entfernen.
Sicherheitsrichtlinien
Wenn Sie einen TLS-Listener erstellen, müssen Sie eine Sicherheitsrichtlinie auswählen. Sie können die Sicherheitsrichtlinie je nach Bedarf aktualisieren. Weitere Informationen finden Sie unter Aktualisieren der Sicherheitsrichtlinie.
Überlegungen:
-
Die
ELBSecurityPolicy-TLS13-1-2-2021-06
Richtlinie ist die Standardsicherheitsrichtlinie für TLS-Listener, die mit der erstellt wurdenAWS Management Console.-
Wir empfehlen die -
ELBSecurityPolicy-TLS13-1-2-2021-06
Sicherheitsrichtlinie, die TLS 1.3 enthält und abwärtskompatibel mit TLS 1.2 ist.
-
-
Die
ELBSecurityPolicy-2016-08
Richtlinie ist die Standardsicherheitsrichtlinie für TLS-Listener, die mit der erstellt wurdenAWS CLI. -
Sie können die Sicherheitsrichtlinie auswählen, die für Frontend-Verbindungen verwendet wird, aber keine Backend-Verbindungen.
-
Wenn Ihr TLS-Listener für Backend-Verbindungen eine TLS 1.3-Sicherheitsrichtlinie verwendet, wird die
ELBSecurityPolicy-TLS13-1-0-2021-06
-Sicherheitsrichtlinie verwendet. Andernfalls wird dieELBSecurityPolicy-2016-08
-Sicherheitsrichtlinie für Backend-Verbindungen verwendet.
-
-
Um Compliance- und Sicherheitsstandards zu erfüllen, die die Deaktivierung bestimmter TLS-Protokollversionen erfordern, oder um ältere Clients zu unterstützen, die veraltete Verschlüsselungen benötigen, können Sie eine der -
ELBSecurityPolicy-TLS-
Sicherheitsrichtlinien verwenden. Sie können Zugriffsprotokolle für Informationen zu den an Ihren Network Load Balancer gesendeten TLS-Anforderungen aktivieren, TLS-Datenverkehrsmuster analysieren, Sicherheitsrichtlinien-Upgrades verwalten und Probleme beheben. Aktivieren Sie die Zugriffsprotokollierung für Ihren Load Balancer und überprüfen Sie die entsprechenden Zugriffsprotokolleinträge. Weitere Informationen finden Sie unter Zugriffsprotokolle und Beispielanforderungen für Network Load Balancers. -
Sie können einschränken, welche Sicherheitsrichtlinien Benutzern in Ihrem AWS-Konten und zur Verfügung stehen, AWS Organizations indem Sie die Bedingungsschlüssel Elastic Load Balancing in Ihren IAM- bzw. Service-Kontrollrichtlinien (SCPs) verwenden. Weitere Informationen finden Sie unter Service-Kontrollrichtlinien (SCPsAWS Organizations) im -Benutzerhandbuch.
TLS-1.3-Sicherheitsrichtlinien
Anmerkung
TLS-1.3-Sicherheitsrichtlinien für Network Load Balancer werden nur in der neuen EC2-Umgebung unterstützt. Bei Verwendung der alten EC2-Umgebung stehen TLS-1.3-Sicherheitsrichtlinien nicht zur Auswahl.
Elastic Load Balancing bietet die folgenden TLS 1.3-Sicherheitsrichtlinien für Network Load Balancer:
-
ELBSecurityPolicy-TLS13-1-2-2021-06
(Empfohlen) -
ELBSecurityPolicy-TLS13-1-2-Res-2021-06
-
ELBSecurityPolicy-TLS13-1-2-Ext1-2021-06
-
ELBSecurityPolicy-TLS13-1-2-Ext2-2021-06
-
ELBSecurityPolicy-TLS13-1-1-2021-06
-
ELBSecurityPolicy-TLS13-1-0-2021-06
-
ELBSecurityPolicy-TLS13-1-3-2021-06
FIPS-Sicherheitsrichtlinien
Der Federal Information Processing Standard (FIPS) ist ein Standard der US-amerikanischen und der japanischen Regierung, der die Sicherheitsanforderungen für kryptografische Module festlegt, die vertrauliche Informationen schützen. Weitere Informationen finden Sie unter Federal Information Processing Standard (FIPS) 140
Alle FIPS-Richtlinien nutzen das AWS-LC-FIPS-validierte kryptografische Modul. Weitere Informationen finden Sie auf der Seite AWS-LC Cryptographic Module
Elastic Load Balancing bietet die folgenden FIPS-Sicherheitsrichtlinien für Network Load Balancer :
-
ELBSecurityPolicy-TLS13-1-3-FIPS-2023-04
-
ELBSecurityPolicy-TLS13-1-2-Res-FIPS-2023-04
-
ELBSecurityPolicy-TLS13-1-2-FIPS-2023-04
(Empfohlen) -
ELBSecurityPolicy-TLS13-1-2-Ext0-FIPS-2023-04
-
ELBSecurityPolicy-TLS13-1-2-Ext1-FIPS-2023-04
-
ELBSecurityPolicy-TLS13-1-2-Ext2-FIPS-2023-04
-
ELBSecurityPolicy-TLS13-1-1-FIPS-2023-04
-
ELBSecurityPolicy-TLS13-1-0-FIPS-2023-04
Von FS unterstützte Richtlinien
Elastic Load Balancing bietet die folgenden von FS (Forward Secrecy) unterstützten Sicherheitsrichtlinien für Network Load Balancer:
-
ELBSecurityPolicy-FS-1-2-Res-2020-10
-
ELBSecurityPolicy-FS-1-2-Res-2019-08
-
ELBSecurityPolicy-FS-1-2-2019-08
-
ELBSecurityPolicy-FS-1-1-2019-08
-
ELBSecurityPolicy-FS-2018-06
TLS 1.0–1.2-Sicherheitsrichtlinien
Elastic Load Balancing bietet die folgenden TLS-1.0-1.2-Sicherheitsrichtlinien für Network Load Balancer:
-
ELBSecurityPolicy-TLS-1-2-Ext-2018-06
-
ELBSecurityPolicy-TLS-1-2-2017-01
-
ELBSecurityPolicy-TLS-1-1-2017-01
-
ELBSecurityPolicy-2016-08
-
ELBSecurityPolicy-TLS-1-0-2015-04
-
ELBSecurityPolicy-2015-05
(identisch zuELBSecurityPolicy-2016-08
)
TLS-Protokolle und Verschlüsselungen
ALPN-Richtlinien
Application-Layer Protocol Negotiation (ALPN) ist eine TLS-Erweiterung, die als Antwort auf die ersten TLS-Handshake-Hello-Nachrichten gesendet wird. ALPN ermöglicht es der Anwendungsebene auszuhandeln, welche Protokolle über eine sichere Verbindung wie HTTP/1 und HTTP/2 verwendet werden sollen.
Wenn der Client eine ALPN-Verbindung initiiert, vergleicht der Load Balancer die ALPN-Einstellungsliste des Clients mit der ALPN-Richtlinie. Wenn der Client ein Protokoll aus der ALPN-Richtlinie unterstützt, stellt der Load Balancer die Verbindung basierend auf der Einstellungsliste der ALPN-Richtlinie her. Andernfalls verwendet der Load Balancer ALPN nicht.
Unterstützte ALPN-Richtlinien
Im Folgenden werden die unterstützten ALPN-Richtlinien aufgeführt:
HTTP1Only
-
Nur HTTP/1.* aushandeln. Die ALPN-Einstellungsliste lautet http/1.1, http/1.0.
HTTP2Only
-
Nur HTTP/2 aushandeln. Die ALPN-Einstellungsliste lautet h2.
HTTP2Optional
-
HTTP/1.* gegenüber HTTP/2 bevorzugen (kann bei HTTP/2-Tests genutzt werden). Die ALPN-Einstellungsliste lautet http/1.1, http/1.0, h2.
HTTP2Preferred
-
HTTP/2 gegenüber HTTP/1.* bevorzugen. Die ALPN-Einstellungsliste lautet h2, http/1.1, http/1.0.
None
-
ALPN nicht aushandeln. Dies ist die Standardeinstellung.
ALPN-Verbindungen aktivieren
Sie können ALPN-Verbindungen aktivieren, wenn Sie einen TLS-Listener erstellen oder ändern. Weitere Informationen finden Sie unter Hinzufügen eines Listeners und Aktualisieren der ALPN-Richtlinie.