TLS-Listener für Ihren Network Load Balancer

Um einen TLS-Listener zu verwenden, müssen Sie auf dem Load Balancer mindestens ein Serverzertifikat bereitstellen. Der Load Balancer verwendet ein Serverzertifikat, um die Frontend-Verbindung zu beenden und dann Anfragen von Clients zu entschlüsseln, bevor er sie an die Ziele sendet. Beachten Sie, dass Sie, wenn Sie verschlüsselten Datenverkehr an die Ziele weiterleiten müssen, ohne dass der Load Balancer ihn entschlüsselt, einen TCP-Listener auf Port 443 erstellen, anstatt einen TLS-Listener zu erstellen. Der Load Balancer leitet die Anforderung unverändert an das Ziel weiter, ohne sie zu entschlüsseln.

Elastic Load Balancing verwendet eine TLS-Aushandlungskonfiguration, die als Sicherheitsrichtlinie bezeichnet wird, um TLS-Verbindungen zwischen einem Client und dem Load Balancer auszuhandeln. Eine Sicherheitsrichtlinie ist eine Kombination aus Protokollen und Verschlüsselungen. Das Protokoll stellt eine sichere Verbindung zwischen einem Client und einem Server her und stellt sicher, dass alle Daten, die zwischen dem Client und Ihres Load Balancers übertragen werden, privat sind. Ein Verschlüsselungsverfahren ist ein Algorithmus, der eine kodierte Nachricht mithilfe von Verschlüsselungsschlüsseln erstellt. Protokolle verwenden mehrere Verschlüsselungsverfahren zum Verschlüsseln von Daten über das Internet. Während der Verbindungsaushandlung präsentieren der Client und der Load Balancer eine Liste von Verschlüsselungsverfahren und Protokollen, die sie jeweils unterstützen, nach Priorität sortiert. Als sichere Verbindung wird die erste Verschlüsselung auf der Liste des Servers ausgewählt, die mit einem der Verschlüsselungsverfahren des Clients übereinstimmt.

Network Load Balancers unterstützen keine TLS-Neuaushandlung oder gegenseitige TLS-Authentifizierung (mTLS). Für mTLS-Unterstützung erstellen Sie einen TCP-Listener anstelle eines TLS-Listeners. Der Load Balancer leitet die Anforderung unverändert weiter, sodass Sie mTLS auf dem Ziel implementieren können.

Informationen zum Erstellen eines TLS-Listeners finden Sie unter Hinzufügen eines Listeners. Verwandte Demos finden Sie unter TLS-Unterstützung für Network Load Balancer und SNI-Unterstützung für Network Load Balancer.

Serverzertifikate

Der Load Balancer erfordert X.509-Zertifikate (Serverzertifikat). Zertifikate sind eine digitale Methode zur Identifizierung. Sie werden von einer Zertifizierungsstelle (Certificate Authority, CA) ausgestellt. Ein Zertifikat enthält Identifizierungsdaten, einen Gültigkeitszeitraum, den öffentlichen Schlüssel, eine Seriennummer und die digitale Signatur des Ausstellers.

Wenn Sie ein Zertifikat zur Verwendung mit Ihrem Load Balancer erstellen, müssen Sie einen Domainnamen angeben. Der Domainname auf dem Zertifikat muss mit dem Datensatz für den benutzerdefinierten Domainnamen übereinstimmen, damit wir die TLS-Verbindung überprüfen können. Stimmen sie nicht überein, wird der Datenverkehr nicht verschlüsselt.

Sie müssen einen vollqualifizierten Domainnamen (Fully Qualified Domain Name, FQDN) für Ihr Zertifikat wie www.example.com oder einen Apex-Domainnamen wie example.com angeben. Sie können auch ein Sternchen (*) als Platzhalter verwenden, um mehrere Websitenamen in derselben Domain zu schützen. Wenn Sie ein Platzhalter-Zertifikat anfordern, muss sich das Sternchen (*) ganz links im Domainnamen befinden und es kann nur eine Subdomain-Ebene geschützt werden. *.example.com schützt beispielsweise corp.example.com und images.example.com, aber es kann test.login.example.com nicht schützen. Beachten Sie außerdem, dass *.example.com nur die Subdomains von example.com schützt, jedoch nicht die bare- oder apex-Domain (example.com). Der Platzhaltername wird im Feld Subjekt und in der Erweiterung Alternativer Subjekt-Name des ACM-Zertifikats angezeigt. Weitere Informationen zum Anfordern öffentlicher Zertifikate finden Sie unter Anfordern eines öffentlichen Zertifikats im AWS Certificate Manager-Benutzerhandbuch.

Wir empfehlen, Zertifikate für Ihre Load Balancers mit AWS Certificate Manager (ACM) zu erstellen. ACM lässt sich in Elastic Load Balancing integrieren, sodass Sie das Zertifikat in Ihrem Load Balancer bereitstellen können. Weitere Informationen finden Sie im AWS Certificate Manager-Benutzerhandbuch.

Alternativ können Sie mit TLS-Tools eine Zertifikatssignierungsanforderung (Certificate Signing Request, CSR) erstellen, die CSR dann von einer CA signieren lassen, um ein Zertifikat zu erstellen, das Zertifikat dann in ACM zu importieren oder in AWS Identity and Access Management (IAM) hochzuladen. Weitere Informationen finden Sie unter Importieren von Zertifikaten im AWS Certificate Manager-Benutzerhandbuch oder Arbeiten mit Serverzertifikaten im IAM-Benutzerhandbuch.

Unterstützte Schlüsselalgorithmen

• RSA 1024-Bit

• RSA 2048-Bit

• RSA 3072-Bit

• ECDSA 256-Bit

• ECDSA 384-Bit

• ECDSA 521-Bit

Standardzertifikat

Wenn Sie einen TLS-Listener erstellen, müssen Sie genau ein Zertifikat angeben. Dieses Zertifikat wird als Standardzertifikat bezeichnet. Sie können das Standardzertifikat ersetzen, nachdem Sie den TLS-Listener erstellt haben. Weitere Informationen finden Sie unter Ersetzen des Standardzertifikats.

Wenn Sie weitere Zertifikate in einer Zertifikatliste angeben, wird das Standardzertifikat nur verwendet, wenn ein Client eine Verbindung ohne SNI- (Server Name Indication)-Protokoll herstellt, um einen Hostnamen anzugeben, oder falls keine passenden Zertifikate in der Zertifikatliste gefunden werden.

Wenn Sie keine weiteren Zertifikate angeben, aber mehrere sichere Anwendungen über einen einzelnen Load Balancer hosten müssen, können Sie ein Platzhalterzertifikat verwenden oder Ihrem Zertifikat einen SAN (Subject Alternative Name) für jede weitere Domain hinzufügen.

Zertifikatliste

Nach der Erstellung eines TLS-Listeners verfügt dieser über ein Standardzertifikat und eine leere Zertifikatliste. Optional können Sie der Zertifikatliste für den Listener Zertifikate hinzufügen. Ein Load Balancer kann dann mehrere Domains über denselben Port unterstützen und ein anderes Zertifikat für jede Domain bereitstellen. Weitere Informationen finden Sie unter Hinzufügen von Zertifikaten zu einer Zertifikatliste.

Der Load Balancer verwendet einen intelligenten Algorithmus für die Zertifikatsauswahl, bei dem SNI unterstützt wird. Wenn der von einem Client bereitgestellte Hostname nur mit einem Zertifikat in der Zertifikatliste übereinstimmt, wählt der Load Balancer das entsprechende Zertifikat aus. Wenn ein von einem Client bereitgestellter Hostname mehreren Zertifikaten in der Zertifikatliste entspricht, wählt der Load Balancer das beste vom Client unterstützte Zertifikat. Die Auswahl des Zertifikats basiert auf den folgenden Kriterien in der angegebenen Reihenfolge:

• Hash-Algorithmus (SHA gegenüber MD5 bevorzugt)

• Schlüssellänge (der längste Schlüssel wird bevorzugt)

• Gültigkeitszeitraum

Die Load Balancer-Zugriffsprotokolleinträge enthalten den vom Client angegebenen Hostnamen und das dem Client präsentierte Zertifikat. Weitere Informationen finden Sie unter Zugriffsprotokolleinträge.

Zertifikatserneuerung

Jedes Zertifikat verfügt über einen Gültigkeitszeitraum. Sie müssen sicherstellen, dass Sie jedes Zertifikat für Ihren Load Balancer vor dem Ablauf des Gültigkeitszeitraum erneuern oder ersetzen. Dies schließt das Standardzertifikat und Zertifikate in der Zertifikatliste ein. Das Verlängern oder Ersetzen eines Zertifikats wirkt sich nicht auf Anforderungen aus, die bereits verarbeitet werden, von einem Load Balancer-Knoten empfangen wurden und deren Weiterleitung an ein fehlerfreies Ziel aussteht. Nachdem ein Zertifikat verlängert wurde, verwenden neue Anforderungen das verlängerte Zertifikat. Nachdem ein Zertifikat ersetzt wurde, verwenden neue Anforderungen das neue Zertifikat.

Sie können das Verlängern und Ersetzen von Zertifikaten folgendermaßen verwalten:

• Zertifikate, die von AWS Certificate Manager auf dem Load Balancer bereitgestellt werden, können automatisch erneuert werden. ACM versucht, die Zertifikate zu verlängern, bevor sie ablaufen. Weitere Informationen finden Sie unter Verwaltete Erneuerung im AWS Certificate Manager-Benutzerhandbuch.

• Wenn Sie ein Zertifikat in ACM importiert haben, müssen Sie das Ablaufdatum des Zertifikats überwachen und es vor dem Ablauf verlängern. Weitere Informationen finden Sie unter Importieren von Zertifikaten im AWS Certificate Manager-Benutzerhandbuch.

• Wenn Sie ein Zertifikat in IAM importiert haben, müssen Sie ein neues Zertifikat erstellen, das neue Zertifikat in ACM oder IAM importieren, es dem Load Balancer hinzufügen und das abgelaufene Zertifikat aus dem Load Balancer entfernen.

Sicherheitsrichtlinien

Wenn Sie einen TLS-Listener erstellen, müssen Sie eine Sicherheitsrichtlinie auswählen. Sie können die Sicherheitsrichtlinie je nach Bedarf aktualisieren. Weitere Informationen finden Sie unter Aktualisieren der Sicherheitsrichtlinie.

Überlegungen:

• Die ELBSecurityPolicy-TLS13-1-2-2021-06 Richtlinie ist die Standardsicherheitsrichtlinie für TLS-Listener, die mit der erstellt wurdenAWS Management Console.

  • Wir empfehlen die -ELBSecurityPolicy-TLS13-1-2-2021-06Sicherheitsrichtlinie, die TLS 1.3 enthält und abwärtskompatibel mit TLS 1.2 ist.

• Die ELBSecurityPolicy-2016-08 Richtlinie ist die Standardsicherheitsrichtlinie für TLS-Listener, die mit der erstellt wurdenAWS CLI.

• Sie können die Sicherheitsrichtlinie auswählen, die für Frontend-Verbindungen verwendet wird, aber keine Backend-Verbindungen.

  • Wenn Ihr TLS-Listener für Backend-Verbindungen eine TLS 1.3-Sicherheitsrichtlinie verwendet, wird die ELBSecurityPolicy-TLS13-1-0-2021-06-Sicherheitsrichtlinie verwendet. Andernfalls wird die ELBSecurityPolicy-2016-08-Sicherheitsrichtlinie für Backend-Verbindungen verwendet.

• Um Compliance- und Sicherheitsstandards zu erfüllen, die die Deaktivierung bestimmter TLS-Protokollversionen erfordern, oder um ältere Clients zu unterstützen, die veraltete Verschlüsselungen benötigen, können Sie eine der -ELBSecurityPolicy-TLS-Sicherheitsrichtlinien verwenden. Sie können Zugriffsprotokolle für Informationen zu den an Ihren Network Load Balancer gesendeten TLS-Anforderungen aktivieren, TLS-Datenverkehrsmuster analysieren, Sicherheitsrichtlinien-Upgrades verwalten und Probleme beheben. Aktivieren Sie die Zugriffsprotokollierung für Ihren Load Balancer und überprüfen Sie die entsprechenden Zugriffsprotokolleinträge. Weitere Informationen finden Sie unter Zugriffsprotokolle und Beispielanforderungen für Network Load Balancers.

• Sie können einschränken, welche Sicherheitsrichtlinien Benutzern in Ihrem AWS-Konten und zur Verfügung stehen, AWS Organizations indem Sie die Bedingungsschlüssel Elastic Load Balancing in Ihren IAM- bzw. Service-Kontrollrichtlinien (SCPs) verwenden. Weitere Informationen finden Sie unter Service-Kontrollrichtlinien (SCPsAWS Organizations) im -Benutzerhandbuch.

TLS-1.3-Sicherheitsrichtlinien

Anmerkung

TLS-1.3-Sicherheitsrichtlinien für Network Load Balancer werden nur in der neuen EC2-Umgebung unterstützt. Bei Verwendung der alten EC2-Umgebung stehen TLS-1.3-Sicherheitsrichtlinien nicht zur Auswahl.

Elastic Load Balancing bietet die folgenden TLS 1.3-Sicherheitsrichtlinien für Network Load Balancer:

• ELBSecurityPolicy-TLS13-1-2-2021-06 (Empfohlen)

• ELBSecurityPolicy-TLS13-1-2-Res-2021-06

• ELBSecurityPolicy-TLS13-1-2-Ext1-2021-06

• ELBSecurityPolicy-TLS13-1-2-Ext2-2021-06

• ELBSecurityPolicy-TLS13-1-1-2021-06

• ELBSecurityPolicy-TLS13-1-0-2021-06

• ELBSecurityPolicy-TLS13-1-3-2021-06

FIPS-Sicherheitsrichtlinien

Der Federal Information Processing Standard (FIPS) ist ein Standard der US-amerikanischen und der japanischen Regierung, der die Sicherheitsanforderungen für kryptografische Module festlegt, die vertrauliche Informationen schützen. Weitere Informationen finden Sie unter Federal Information Processing Standard (FIPS) 140 auf der Seite AWS Cloud Security Compliance.

Alle FIPS-Richtlinien nutzen das AWS-LC-FIPS-validierte kryptografische Modul. Weitere Informationen finden Sie auf der Seite AWS-LC Cryptographic Module auf der Website des NIST Cryptographic Module Validation Program.

Elastic Load Balancing bietet die folgenden FIPS-Sicherheitsrichtlinien für Network Load Balancer :

• ELBSecurityPolicy-TLS13-1-3-FIPS-2023-04

• ELBSecurityPolicy-TLS13-1-2-Res-FIPS-2023-04

• ELBSecurityPolicy-TLS13-1-2-FIPS-2023-04 (Empfohlen)

• ELBSecurityPolicy-TLS13-1-2-Ext0-FIPS-2023-04

• ELBSecurityPolicy-TLS13-1-2-Ext1-FIPS-2023-04

• ELBSecurityPolicy-TLS13-1-2-Ext2-FIPS-2023-04

• ELBSecurityPolicy-TLS13-1-1-FIPS-2023-04

• ELBSecurityPolicy-TLS13-1-0-FIPS-2023-04

Von FS unterstützte Richtlinien

Elastic Load Balancing bietet die folgenden von FS (Forward Secrecy) unterstützten Sicherheitsrichtlinien für Network Load Balancer:

• ELBSecurityPolicy-FS-1-2-Res-2020-10

• ELBSecurityPolicy-FS-1-2-Res-2019-08

• ELBSecurityPolicy-FS-1-2-2019-08

• ELBSecurityPolicy-FS-1-1-2019-08

• ELBSecurityPolicy-FS-2018-06

TLS 1.0–1.2-Sicherheitsrichtlinien

Elastic Load Balancing bietet die folgenden TLS-1.0-1.2-Sicherheitsrichtlinien für Network Load Balancer:

• ELBSecurityPolicy-TLS-1-2-Ext-2018-06

• ELBSecurityPolicy-TLS-1-2-2017-01

• ELBSecurityPolicy-TLS-1-1-2017-01

• ELBSecurityPolicy-2016-08

• ELBSecurityPolicy-TLS-1-0-2015-04

• ELBSecurityPolicy-2015-05 (identisch zu ELBSecurityPolicy-2016-08)

TLS-Protokolle und Verschlüsselungen

TLS 1.3

In der folgenden Tabelle werden die unterstützten TLS-Protokolle und Verschlüsselungsverfahren für die verfügbaren TLS-1.3-Sicherheitsrichtlinien beschrieben.

Hinweis: Das ELBSecurityPolicy- Präfix wurde aus den Richtliniennamen in der Zeile mit den Sicherheitsrichtlinien entfernt.

Beispiel: Die Sicherheitsrichtlinie ELBSecurityPolicy-TLS13-1-2-2021-06 wird als angezeigtTLS13-1-2-2021-06.

Sicherheitsrichtlinien
TLS-Protokolle
Protocol-TLSv1							✓
Protocol-TLSv1.1						✓	✓
Protocol-TLSv1.2	✓		✓	✓	✓	✓	✓
Protocol-TLSv1.3	✓	✓	✓	✓	✓	✓	✓
TLS-Verschlüsselungsverfahren
TLS_AES_128_GCM_SHA256	✓	✓	✓	✓	✓	✓	✓
TLS_AES_256_GCM_SHA384	✓	✓	✓	✓	✓	✓	✓
TLS_CHACHA20_POLY1305_SHA256	✓	✓	✓	✓	✓	✓	✓
ECDHE-ECDSA-AES128-GCM-SHA256	✓		✓	✓	✓	✓	✓
ECDHE-RSA-AES128-GCM-SHA256	✓		✓	✓	✓	✓	✓
ECDHE-ECDSA-AES128-SHA256	✓			✓	✓	✓	✓
ECDHE-RSA-AES128-SHA256	✓			✓	✓	✓	✓
ECDHE-ECDSA-AES128-SHA				✓		✓	✓
ECDHE-RSA-AES128-SHA				✓		✓	✓
ECDHE-ECDSA-AES256-GCM-SHA384	✓		✓	✓	✓	✓	✓
ECDHE-RSA-AES256-GCM-SHA384	✓		✓	✓	✓	✓	✓
ECDHE-ECDSA-AES256-SHA384	✓			✓	✓	✓	✓
ECDHE-RSA-AES256-SHA384	✓			✓	✓	✓	✓
ECDHE-RSA-AES256-SHA				✓		✓	✓
ECDHE-ECDSA-AES256-SHA				✓		✓	✓
AES128-GCM-SHA256				✓	✓	✓	✓
AES128-SHA256				✓	✓	✓	✓
AES128-SHA				✓		✓	✓
AES256-GCM-SHA384				✓	✓	✓	✓
AES256-SHA256				✓	✓	✓	✓
AES256-SHA				✓		✓	✓

So erstellen Sie einen TLS-Listener, der eine TLS-1.3-Richtlinie verwendet, mithilfe der CLI

Verwenden Sie den Befehl create-listener mit jeder TLS-1.3-Sicherheitsrichtlinie .

Das Beispiel verwendet die -ELBSecurityPolicy-TLS13-1-2-2021-06Sicherheitsrichtlinie.

aws elbv2 create-listener --name my-listener \
--protocol TLS --port 443 \ 
--ssl-policy ELBSecurityPolicy-TLS13-1-2-2021-06

So ändern Sie einen TLS-Listener zur Verwendung einer TLS-1.3-Richtlinie mithilfe der CLI

Verwenden Sie den Befehl modify-listener mit jeder TLS-1.3-Sicherheitsrichtlinie .

Das Beispiel verwendet die -ELBSecurityPolicy-TLS13-1-2-2021-06Sicherheitsrichtlinie.

aws elbv2 modify-listener \
--listener-arn arn:aws:elasticloadbalancing:us-east-1:123456789012:listener/app/my-load-balancer/abcdef01234567890/1234567890abcdef0 \
--ssl-policy ELBSecurityPolicy-TLS13-1-2-2021-06

So zeigen Sie die von einem Listener verwendeten Sicherheitsrichtlinien mit der CLI an

Verwenden Sie den Befehl describe-listener mit der arn Ihres Listeners.

aws elbv2 describe-listener \
--listener-arn arn:aws:elasticloadbalancing:us-east-1:123456789012:listener/app/my-load-balancer/abcdef01234567890/1234567890abcdef0

So zeigen Sie die Konfiguration einer TLS-1.3-Sicherheitsrichtlinie mithilfe der CLI an

Verwenden Sie den describe-ssl-policies Befehl mit jeder TLS-1.3-Sicherheitsrichtlinie .

Das Beispiel verwendet die -ELBSecurityPolicy-TLS13-1-2-2021-06Sicherheitsrichtlinie.

aws elbv2 describe-ssl-policies \
--names ELBSecurityPolicy-TLS13-1-2-2021-06

FIPS

Wichtig

Richtlinien ELBSecurityPolicy-TLS13-1-1-FIPS-2023-04 und ELBSecurityPolicy-TLS13-1-0-FIPS-2023-04 werden nur für Legacy-Kompatibilität bereitgestellt. Während sie FIPS-Kryptografie mit dem FIPS140-Modul verwenden, entsprechen sie möglicherweise nicht den neuesten NIST-Anleitungen für die TLS-Konfiguration.

In der folgenden Tabelle werden die unterstützten TLS-Protokolle und Verschlüsselungsverfahren für die verfügbaren FIPS-Sicherheitsrichtlinien beschrieben.

Hinweis: Das ELBSecurityPolicy- Präfix wurde aus den Richtliniennamen in der Zeile mit den Sicherheitsrichtlinien entfernt.

Beispiel: Die Sicherheitsrichtlinie ELBSecurityPolicy-TLS13-1-2-FIPS-2023-04 wird als angezeigtTLS13-1-2-FIPS-2023-04.

Sicherheitsrichtlinien
TLS-Protokolle
Protocol-TLSv1								✓
Protocol-TLSv1.1							✓	✓
Protocol-TLSv1.2		✓	✓	✓	✓	✓	✓	✓
Protocol-TLSv1.3	✓	✓	✓	✓	✓	✓	✓	✓
TLS-Verschlüsselungsverfahren
TLS_AES_128_GCM_SHA256	✓	✓	✓	✓	✓	✓	✓	✓
TLS_AES_256_GCM_SHA384	✓	✓	✓	✓	✓	✓	✓	✓
ECDHE-ECDSA-AES128-GCM-SHA256		✓	✓	✓	✓	✓	✓	✓
ECDHE-RSA-AES128-GCM-SHA256		✓	✓	✓	✓	✓	✓	✓
ECDHE-ECDSA-AES128-SHA256			✓	✓	✓	✓	✓	✓
ECDHE-RSA-AES128-SHA256			✓	✓	✓	✓	✓	✓
ECDHE-ECDSA-AES128-SHA				✓		✓	✓	✓
ECDHE-RSA-AES128-SHA				✓		✓	✓	✓
ECDHE-ECDSA-AES256-GCM-SHA384		✓	✓	✓	✓	✓	✓	✓
ECDHE-RSA-AES256-GCM-SHA384		✓	✓	✓	✓	✓	✓	✓
ECDHE-ECDSA-AES256-SHA384			✓	✓	✓	✓	✓	✓
ECDHE-RSA-AES256-SHA384			✓	✓	✓	✓	✓	✓
ECDHE-RSA-AES256-SHA				✓		✓	✓	✓
ECDHE-ECDSA-AES256-SHA				✓		✓	✓	✓
AES128-GCM-SHA256					✓	✓	✓	✓
AES128-SHA256					✓	✓	✓	✓
AES128-SHA						✓	✓	✓
AES256-GCM-SHA384					✓	✓	✓	✓
AES256-SHA256					✓	✓	✓	✓
AES256-SHA						✓	✓	✓

So erstellen Sie einen TLS-Listener, der eine FIPS-Richtlinie verwendet, mithilfe der CLI

Verwenden Sie den Befehl create-listener mit jeder FIPS-Sicherheitsrichtlinie .

Das Beispiel verwendet die -ELBSecurityPolicy-TLS13-1-2-FIPS-2023-04Sicherheitsrichtlinie.

aws elbv2 create-listener --name my-listener \
--protocol TLS --port 443 \ 
--ssl-policy ELBSecurityPolicy-TLS13-1-2-FIPS-2023-04

So ändern Sie einen TLS-Listener zur Verwendung einer FIPS-Richtlinie mithilfe der CLI

Verwenden Sie den Befehl modify-listener mit jeder FIPS-Sicherheitsrichtlinie .

Das Beispiel verwendet die -ELBSecurityPolicy-TLS13-1-2-FIPS-2023-04Sicherheitsrichtlinie.

aws elbv2 modify-listener \
--listener-arn arn:aws:elasticloadbalancing:us-east-1:123456789012:listener/app/my-load-balancer/abcdef01234567890/1234567890abcdef0 \
--ssl-policy ELBSecurityPolicy-TLS13-1-2-FIPS-2023-04

So zeigen Sie die von einem Listener verwendeten Sicherheitsrichtlinien mit der CLI an

Verwenden Sie den Befehl describe-listener mit der arn Ihres Listeners.

aws elbv2 describe-listener \
--listener-arn arn:aws:elasticloadbalancing:us-east-1:123456789012:listener/app/my-load-balancer/abcdef01234567890/1234567890abcdef0

So zeigen Sie die Konfiguration einer FIPS-Sicherheitsrichtlinie mithilfe der CLI an

Verwenden Sie den describe-ssl-policies Befehl mit jeder FIPS-Sicherheitsrichtlinie .

Das Beispiel verwendet die -ELBSecurityPolicy-TLS13-1-2-FIPS-2023-04Sicherheitsrichtlinie.

aws elbv2 describe-ssl-policies \
--names ELBSecurityPolicy-TLS13-1-2-FIPS-2023-04

FS

In der folgenden Tabelle werden die unterstützten TLS-Protokolle und Verschlüsselungsverfahren für die verfügbaren von FS unterstützten Sicherheitsrichtlinien beschrieben.

Hinweis: Das ELBSecurityPolicy- Präfix wurde aus den Richtliniennamen in der Zeile mit den Sicherheitsrichtlinien entfernt.

Beispiel: Die Sicherheitsrichtlinie ELBSecurityPolicy-FS-2018-06 wird als angezeigtFS-2018-06.

Sicherheitsrichtlinien
TLS-Protokolle
Protocol-TLSv1	✓					✓
Protocol-TLSv1.1	✓				✓	✓
Protocol-TLSv1.2	✓	✓	✓	✓	✓	✓
TLS-Verschlüsselungsverfahren
ECDHE-ECDSA-AES128-GCM-SHA256	✓	✓	✓	✓	✓	✓
ECDHE-RSA-AES128-GCM-SHA256	✓	✓	✓	✓	✓	✓
ECDHE-ECDSA-AES128-SHA256	✓		✓	✓	✓	✓
ECDHE-RSA-AES128-SHA256	✓		✓	✓	✓	✓
ECDHE-ECDSA-AES128-SHA	✓			✓	✓	✓
ECDHE-RSA-AES128-SHA	✓			✓	✓	✓
ECDHE-ECDSA-AES256-GCM-SHA384	✓	✓	✓	✓	✓	✓
ECDHE-RSA-AES256-GCM-SHA384	✓	✓	✓	✓	✓	✓
ECDHE-ECDSA-AES256-SHA384	✓		✓	✓	✓	✓
ECDHE-RSA-AES256-SHA384	✓		✓	✓	✓	✓
ECDHE-RSA-AES256-SHA	✓			✓	✓	✓
ECDHE-ECDSA-AES256-SHA	✓			✓	✓	✓
AES128-GCM-SHA256	✓
AES128-SHA256	✓
AES128-SHA	✓
AES256-GCM-SHA384	✓
AES256-SHA256	✓
AES256-SHA	✓

So erstellen Sie einen TLS-Listener, der eine von FS unterstützte Richtlinie verwendet, mithilfe der CLI

Verwenden Sie den Befehl create-listener mit jeder von FS unterstützten Sicherheitsrichtlinie .

Das Beispiel verwendet die -ELBSecurityPolicy-FS-2018-06Sicherheitsrichtlinie.

aws elbv2 create-listener --name my-listener \
--protocol TLS --port 443 \ 
--ssl-policy ELBSecurityPolicy-FS-2018-06

So ändern Sie einen TLS-Listener zur Verwendung einer von FS unterstützten Richtlinie mithilfe der CLI

Verwenden Sie den Befehl modify-listener mit jeder von FS unterstützten Sicherheitsrichtlinie .

Das Beispiel verwendet die -ELBSecurityPolicy-FS-2018-06Sicherheitsrichtlinie.

aws elbv2 modify-listener \
--listener-arn arn:aws:elasticloadbalancing:us-east-1:123456789012:listener/app/my-load-balancer/abcdef01234567890/1234567890abcdef0 \
--ssl-policy ELBSecurityPolicy-FS-2018-06

So zeigen Sie die von einem Listener verwendeten Sicherheitsrichtlinien mit der CLI an

Verwenden Sie den Befehl describe-listener mit der arn Ihres Listeners.

aws elbv2 describe-listener \
--listener-arn arn:aws:elasticloadbalancing:us-east-1:123456789012:listener/app/my-load-balancer/abcdef01234567890/1234567890abcdef0

So zeigen Sie die Konfiguration einer von FS unterstützten Sicherheitsrichtlinie mithilfe der CLI an

Verwenden Sie den describe-ssl-policies Befehl mit jeder von FS unterstützten Sicherheitsrichtlinie .

Das Beispiel verwendet die -ELBSecurityPolicy-FS-2018-06Sicherheitsrichtlinie.

aws elbv2 describe-ssl-policies \
--names ELBSecurityPolicy-FS-2018-06

TLS 1.0 - 1.2

In der folgenden Tabelle werden die unterstützten TLS-Protokolle und Verschlüsselungsverfahren für die verfügbaren TLS-1.0-1.2-Sicherheitsrichtlinien beschrieben.

Hinweis: Das ELBSecurityPolicy- Präfix wurde aus den Richtliniennamen in der Zeile mit den Sicherheitsrichtlinien entfernt.

Beispiel: Sicherheitsrichtlinie ELBSecurityPolicy-TLS-1-2-Ext-2018-06 wird als angezeigtTLS-1-2-Ext-2018-06.

Sicherheitsrichtlinien
TLS-Protokolle
Protocol-TLSv1	✓				✓
Protocol-TLSv1.1	✓			✓	✓
Protocol-TLSv1.2	✓	✓	✓	✓	✓
TLS-Verschlüsselungsverfahren
ECDHE-ECDSA-AES128-GCM-SHA256	✓	✓	✓	✓	✓
ECDHE-RSA-AES128-GCM-SHA256	✓	✓	✓	✓	✓
ECDHE-ECDSA-AES128-SHA256	✓	✓	✓	✓	✓
ECDHE-RSA-AES128-SHA256	✓	✓	✓	✓	✓
ECDHE-ECDSA-AES128-SHA	✓	✓		✓	✓
ECDHE-RSA-AES128-SHA	✓	✓		✓	✓
ECDHE-ECDSA-AES256-GCM-SHA384	✓	✓	✓	✓	✓
ECDHE-RSA-AES256-GCM-SHA384	✓	✓	✓	✓	✓
ECDHE-ECDSA-AES256-SHA384	✓	✓	✓	✓	✓
ECDHE-RSA-AES256-SHA384	✓	✓	✓	✓	✓
ECDHE-RSA-AES256-SHA	✓	✓		✓	✓
ECDHE-ECDSA-AES256-SHA	✓	✓		✓	✓
AES128-GCM-SHA256	✓	✓	✓	✓	✓
AES128-SHA256	✓	✓	✓	✓	✓
AES128-SHA	✓	✓		✓	✓
AES256-GCM-SHA384	✓	✓	✓	✓	✓
AES256-SHA256	✓	✓	✓	✓	✓
AES256-SHA	✓	✓		✓	✓
DES-CBC3-SHA					✓

* Verwenden Sie diese Richtlinie nicht, es sei denn, Sie müssen einen veralteten Client unterstützen, der das DES-CBC3-SHA-Verschlüsselungsverfahren, ein schwächeres Verschlüsselungsverfahren, erfordert.

So erstellen Sie einen TLS-Listener, der eine TLS 1.0-1.2-Richtlinie verwendet, mithilfe der CLI

Verwenden Sie den Befehl create-listener mit jeder von TLS 1.0-1.2 unterstützten Sicherheitsrichtlinie .

Das Beispiel verwendet die -ELBSecurityPolicy-2016-08Sicherheitsrichtlinie.

aws elbv2 create-listener --name my-listener \
--protocol TLS --port 443 \ 
--ssl-policy ELBSecurityPolicy-2016-08

So ändern Sie einen TLS-Listener für die Verwendung einer TLS 1.0-1.2-Richtlinie mithilfe der CLI

Verwenden Sie den Befehl modify-listener mit jeder von TLS 1.0-1.2 unterstützten Sicherheitsrichtlinie .

Das Beispiel verwendet die -ELBSecurityPolicy-2016-08Sicherheitsrichtlinie.

aws elbv2 modify-listener \
--listener-arn arn:aws:elasticloadbalancing:us-east-1:123456789012:listener/app/my-load-balancer/abcdef01234567890/1234567890abcdef0 \
--ssl-policy ELBSecurityPolicy-2016-08

So zeigen Sie die von einem Listener verwendeten Sicherheitsrichtlinien mit der CLI an

Verwenden Sie den Befehl describe-listener mit der arn Ihres Listeners.

aws elbv2 describe-listener \
--listener-arn arn:aws:elasticloadbalancing:us-east-1:123456789012:listener/app/my-load-balancer/abcdef01234567890/1234567890abcdef0

So zeigen Sie die Konfiguration einer TLS-1.0-1.2-Sicherheitsrichtlinie mit der CLI an

Verwenden Sie den describe-ssl-policies Befehl mit jeder von TLS 1.0-1.2 unterstützten Sicherheitsrichtlinie .

Das Beispiel verwendet die -ELBSecurityPolicy-2016-08Sicherheitsrichtlinie.

aws elbv2 describe-ssl-policies \
--names ELBSecurityPolicy-2016-08

ALPN-Richtlinien

Application-Layer Protocol Negotiation (ALPN) ist eine TLS-Erweiterung, die als Antwort auf die ersten TLS-Handshake-Hello-Nachrichten gesendet wird. ALPN ermöglicht es der Anwendungsebene auszuhandeln, welche Protokolle über eine sichere Verbindung wie HTTP/1 und HTTP/2 verwendet werden sollen.

Wenn der Client eine ALPN-Verbindung initiiert, vergleicht der Load Balancer die ALPN-Einstellungsliste des Clients mit der ALPN-Richtlinie. Wenn der Client ein Protokoll aus der ALPN-Richtlinie unterstützt, stellt der Load Balancer die Verbindung basierend auf der Einstellungsliste der ALPN-Richtlinie her. Andernfalls verwendet der Load Balancer ALPN nicht.

Unterstützte ALPN-Richtlinien

Im Folgenden werden die unterstützten ALPN-Richtlinien aufgeführt:

HTTP1Only

Nur HTTP/1.* aushandeln. Die ALPN-Einstellungsliste lautet http/1.1, http/1.0.

HTTP2Only

Nur HTTP/2 aushandeln. Die ALPN-Einstellungsliste lautet h2.

HTTP2Optional

HTTP/1.* gegenüber HTTP/2 bevorzugen (kann bei HTTP/2-Tests genutzt werden). Die ALPN-Einstellungsliste lautet http/1.1, http/1.0, h2.

HTTP2Preferred

HTTP/2 gegenüber HTTP/1.* bevorzugen. Die ALPN-Einstellungsliste lautet h2, http/1.1, http/1.0.

None

ALPN nicht aushandeln. Dies ist die Standardeinstellung.

ALPN-Verbindungen aktivieren

Sie können ALPN-Verbindungen aktivieren, wenn Sie einen TLS-Listener erstellen oder ändern. Weitere Informationen finden Sie unter Hinzufügen eines Listeners und Aktualisieren der ALPN-Richtlinie.