TLSListener für Ihren Network Load Balancer

Um einen TLS Listener verwenden zu können, müssen Sie mindestens ein Serverzertifikat auf Ihrem Load Balancer bereitstellen. Der Load Balancer verwendet ein Serverzertifikat, um die Frontend-Verbindung zu beenden und dann Anfragen von Clients zu entschlüsseln, bevor er sie an die Ziele sendet. Beachten Sie, dass Sie, wenn Sie verschlüsselten Datenverkehr an die Ziele weiterleiten müssen, ohne dass der Load Balancer ihn entschlüsselt, einen TCP Listener auf Port 443 erstellen sollten, anstatt einen Listener zu erstellen. TLS Der Load Balancer leitet die Anforderung unverändert an das Ziel weiter, ohne sie zu entschlüsseln.

Elastic Load Balancing verwendet eine TLS Verhandlungskonfiguration, die als Sicherheitsrichtlinie bezeichnet wird, um TLS Verbindungen zwischen einem Client und dem Load Balancer auszuhandeln. Eine Sicherheitsrichtlinie ist eine Kombination aus Protokollen und Verschlüsselungen. Das Protokoll stellt eine sichere Verbindung zwischen einem Client und einem Server her und stellt sicher, dass alle Daten, die zwischen dem Client und Ihres Load Balancers übertragen werden, privat sind. Ein Verschlüsselungsverfahren ist ein Algorithmus, der eine kodierte Nachricht mithilfe von Verschlüsselungsschlüsseln erstellt. Protokolle verwenden mehrere Verschlüsselungsverfahren zum Verschlüsseln von Daten über das Internet. Während der Verbindungsaushandlung präsentieren der Client und der Load Balancer eine Liste von Verschlüsselungsverfahren und Protokollen, die sie jeweils unterstützen, nach Priorität sortiert. Als sichere Verbindung wird die erste Verschlüsselung auf der Liste des Servers ausgewählt, die mit einem der Verschlüsselungsverfahren des Clients übereinstimmt.

Network Load Balancer unterstützen keine TLS Neuverhandlung oder gegenseitige TLS Authentifizierung (m). TLS Um m zu TLS unterstützen, erstellen Sie einen TCP Listener anstelle eines Listeners. TLS Der Load Balancer leitet die Anfrage unverändert weiter, sodass Sie m TLS auf dem Ziel implementieren können.

Informationen zum Erstellen eines TLS Listeners finden Sie unter. Hinzufügen eines Listeners Verwandte Demos finden Sie unter TLS Support für Network Load Balancer und SNISupport für Network Load Balancer.

Serverzertifikate

Der Load Balancer erfordert X.509-Zertifikate (Serverzertifikat). Zertifikate sind eine digitale Methode zur Identifizierung. Sie werden von einer Zertifizierungsstelle (Certificate Authority, CA) ausgestellt. Ein Zertifikat enthält Identifizierungsdaten, einen Gültigkeitszeitraum, den öffentlichen Schlüssel, eine Seriennummer und die digitale Signatur des Ausstellers.

Wenn Sie ein Zertifikat zur Verwendung mit Ihrem Load Balancer erstellen, müssen Sie einen Domainnamen angeben. Der Domainname auf dem Zertifikat muss mit dem Datensatz für den benutzerdefinierten Domainnamen übereinstimmen, damit wir die Verbindung überprüfen können. TLS Stimmen sie nicht überein, wird der Datenverkehr nicht verschlüsselt.

Sie müssen einen vollqualifizierten Domainnamen (FQDN) für Ihr Zertifikat angeben, z. B. www.example.com oder einen Apex-Domänennamen wieexample.com. Sie können auch ein Sternchen (*) als Platzhalter verwenden, um mehrere Websitenamen in derselben Domain zu schützen. Wenn Sie ein Platzhalter-Zertifikat anfordern, muss sich das Sternchen (*) ganz links im Domainnamen befinden und es kann nur eine Subdomain-Ebene geschützt werden. *.example.com schützt beispielsweise corp.example.com und images.example.com, aber es kann test.login.example.com nicht schützen. Beachten Sie außerdem, dass *.example.com nur die Subdomains von example.com schützt, jedoch nicht die bare- oder apex-Domain (example.com). Der Platzhaltername wird im Feld Subjekt und in der Erweiterung Alternativer Subjekt-Name des ACM-Zertifikats angezeigt. Weitere Informationen zum Anfordern öffentlicher Zertifikate finden Sie unter Anfordern eines öffentlichen Zertifikats im AWS Certificate Manager -Benutzerhandbuch.

Wir empfehlen Ihnen, Zertifikate für Ihre Load Balancer mithilfe von AWS Certificate Manager () ACM zu erstellen. ACMintegriert sich in Elastic Load Balancing, sodass Sie das Zertifikat auf Ihrem Load Balancer bereitstellen können. Weitere Informationen finden Sie im AWS Certificate Manager -Benutzerhandbuch.

Alternativ können Sie TLS Tools verwenden, um eine Zertifikatssignierungsanforderung (CSR) zu erstellen, diese dann von einer Zertifizierungsstelle CSR signieren zu lassen, um ein Zertifikat zu erstellen, und dann das Zertifikat in AWS Identity and Access Management (IAM) importieren ACM oder das Zertifikat hochladen. Weitere Informationen finden Sie unter Importieren von Zertifikaten im AWS Certificate Manager Benutzerhandbuch oder Arbeiten mit Serverzertifikaten im IAMBenutzerhandbuch.

Unterstützte Schlüsselalgorithmen

• RSA1024-Bit

• RSA2048-Bit

• RSA3072 Bit

• ECDSA256-Bit

• ECDSA384 Bit

• ECDSA521 Bit

Standardzertifikat

Wenn Sie einen TLS Listener erstellen, müssen Sie genau ein Zertifikat angeben. Dieses Zertifikat wird als Standardzertifikat bezeichnet. Sie können das Standardzertifikat ersetzen, nachdem Sie den TLS Listener erstellt haben. Weitere Informationen finden Sie unter Ersetzen des Standardzertifikats.

Wenn Sie zusätzliche Zertifikate in einer Zertifikatsliste angeben, wird das Standardzertifikat nur verwendet, wenn ein Client eine Verbindung herstellt, ohne das Server Name Indication (SNI) -Protokoll zur Angabe eines Hostnamens zu verwenden, oder wenn die Zertifikatsliste keine passenden Zertifikate enthält.

Wenn Sie keine zusätzlichen Zertifikate angeben, aber mehrere sichere Anwendungen über einen einzigen Load Balancer hosten müssen, können Sie ein Platzhalterzertifikat verwenden oder Ihrem Zertifikat für jede weitere Domäne einen alternativen Betreffnamen (SAN) hinzufügen.

Zertifikatliste

Nachdem Sie einen TLS Listener erstellt haben, hat er ein Standardzertifikat und eine leere Zertifikatsliste. Optional können Sie der Zertifikatliste für den Listener Zertifikate hinzufügen. Ein Load Balancer kann dann mehrere Domains über denselben Port unterstützen und ein anderes Zertifikat für jede Domain bereitstellen. Weitere Informationen finden Sie unter Hinzufügen von Zertifikaten zu einer Zertifikatliste.

Der Load Balancer verwendet einen intelligenten Algorithmus zur Zertifikatsauswahl mit Unterstützung für. SNI Wenn der von einem Client bereitgestellte Hostname nur mit einem Zertifikat in der Zertifikatliste übereinstimmt, wählt der Load Balancer das entsprechende Zertifikat aus. Wenn ein von einem Client bereitgestellter Hostname mehreren Zertifikaten in der Zertifikatliste entspricht, wählt der Load Balancer das beste vom Client unterstützte Zertifikat. Die Auswahl des Zertifikats basiert auf den folgenden Kriterien in der angegebenen Reihenfolge:

• Hashing-Algorithmus (lieber SHA alsMD5)

• Schlüssellänge (der längste Schlüssel wird bevorzugt)

• Gültigkeitszeitraum

Die Load Balancer-Zugriffsprotokolleinträge enthalten den vom Client angegebenen Hostnamen und das dem Client präsentierte Zertifikat. Weitere Informationen finden Sie unter Zugriffsprotokolleinträge.

Zertifikatserneuerung

Jedes Zertifikat verfügt über einen Gültigkeitszeitraum. Sie müssen sicherstellen, dass Sie jedes Zertifikat für Ihren Load Balancer vor dem Ablauf des Gültigkeitszeitraum erneuern oder ersetzen. Dies schließt das Standardzertifikat und Zertifikate in der Zertifikatliste ein. Das Verlängern oder Ersetzen eines Zertifikats wirkt sich nicht auf Anforderungen aus, die bereits verarbeitet werden, von einem Load Balancer-Knoten empfangen wurden und deren Weiterleitung an ein fehlerfreies Ziel aussteht. Nachdem ein Zertifikat verlängert wurde, verwenden neue Anforderungen das verlängerte Zertifikat. Nachdem ein Zertifikat ersetzt wurde, verwenden neue Anforderungen das neue Zertifikat.

Sie können das Verlängern und Ersetzen von Zertifikaten folgendermaßen verwalten:

• Zertifikate, die von Ihrem Load Balancer bereitgestellt AWS Certificate Manager und dort bereitgestellt werden, können automatisch erneuert werden. ACMversucht, Zertifikate zu erneuern, bevor sie ablaufen. Weitere Informationen finden Sie unter Verwaltete Erneuerung im AWS Certificate Manager -Benutzerhandbuch.

• Wenn Sie ein Zertifikat in importiert habenACM, müssen Sie das Ablaufdatum des Zertifikats überwachen und es verlängern, bevor es abläuft. Weitere Informationen finden Sie unter Importieren von Zertifikaten im AWS Certificate Manager -Benutzerhandbuch.

• Wenn Sie ein Zertifikat in importiert habenIAM, müssen Sie ein neues Zertifikat erstellen, das neue Zertifikat in ACM oder importierenIAM, das neue Zertifikat zu Ihrem Load Balancer hinzufügen und das abgelaufene Zertifikat aus Ihrem Load Balancer entfernen.

Sicherheitsrichtlinien

Wenn Sie einen TLS Listener erstellen, müssen Sie eine Sicherheitsrichtlinie auswählen. Sie können die Sicherheitsrichtlinie je nach Bedarf aktualisieren. Weitere Informationen finden Sie unter Aktualisieren der Sicherheitsrichtlinie.

Überlegungen:

• Die ELBSecurityPolicy-TLS13-1-2-2021-06 Richtlinie ist die Standardsicherheitsrichtlinie für TLS Listener, die mit dem erstellt wurden. AWS Management Console

  • Wir empfehlen die ELBSecurityPolicy-TLS13-1-2-2021-06 Sicherheitsrichtlinie, die TLS 1.3 beinhaltet und mit TLS 1.2 abwärtskompatibel ist.

• Die ELBSecurityPolicy-2016-08 Richtlinie ist die Standardsicherheitsrichtlinie für TLS Listener, die mit dem erstellt wurden. AWS CLI

• Sie können die Sicherheitsrichtlinie wählen, die für Front-End-Verbindungen verwendet wird, aber nicht für Back-End-Verbindungen.

  • Wenn Ihr TLS Listener für Backend-Verbindungen eine TLS 1.3-Sicherheitsrichtlinie verwendet, wird die ELBSecurityPolicy-TLS13-1-0-2021-06 Sicherheitsrichtlinie verwendet. Andernfalls wird die ELBSecurityPolicy-2016-08-Sicherheitsrichtlinie für Backend-Verbindungen verwendet.

• Um die Compliance- und Sicherheitsstandards zu erfüllen, die die Deaktivierung bestimmter TLS Protokollversionen erfordern, oder um ältere Clients zu unterstützen, die veraltete Verschlüsselungen benötigen, können Sie eine der Sicherheitsrichtlinien verwenden. ELBSecurityPolicy-TLS- Sie können Zugriffsprotokolle für Informationen über die an Ihren Network Load Balancer gesendeten TLS Anfragen aktivieren, TLS Datenverkehrsmuster analysieren, Sicherheitsrichtlinien-Upgrades verwalten und Probleme beheben. Aktivieren Sie die Zugriffsprotokollierung für Ihren Load Balancer und überprüfen Sie die entsprechenden Zugriffsprotokolleinträge. Weitere Informationen finden Sie unter Zugriffsprotokolle und Beispielanforderungen für Network Load Balancers.

• Sie können einschränken, welche Sicherheitsrichtlinien Benutzern in Ihrem AWS-Konten Land zur Verfügung stehen, AWS Organizations indem Sie die Elastic Load Balancing Balancing-Bedingungsschlüssel in Ihren IAM bzw. Service Control-Richtlinien (SCPs) verwenden. Weitere Informationen finden Sie unter Richtlinien zur Servicesteuerung (SCPs) im AWS Organizations Benutzerhandbuch

TLS1.3 Sicherheitsrichtlinien

Elastic Load Balancing bietet die folgenden TLS 1.3-Sicherheitsrichtlinien für Network Load Balancer:

• ELBSecurityPolicy-TLS13-1-2-2021-06(Empfohlen)

• ELBSecurityPolicy-TLS13-1-2-Res-2021-06

• ELBSecurityPolicy-TLS13-1-2-Ext1-2021-06

• ELBSecurityPolicy-TLS13-1-2-Ext2-2021-06

• ELBSecurityPolicy-TLS13-1-1-2021-06

• ELBSecurityPolicy-TLS13-1-0-2021-06

• ELBSecurityPolicy-TLS13-1-3-2021-06

FIPSSicherheitsrichtlinien

Der Federal Information Processing Standard (FIPS) ist ein US-amerikanischer und kanadischer Regierungsstandard, der die Sicherheitsanforderungen für kryptografische Module zum Schutz vertraulicher Informationen festlegt. Weitere Informationen finden Sie unter Federal Information Processing Standard (FIPS) 140 auf der Seite AWS Cloud Security Compliance.

Alle FIPS Richtlinien nutzen das von AWS -LC FIPS validierte kryptografische Modul. Weitere Informationen finden Sie auf der Seite AWS-LC Cryptographic Module auf der Website des NISTCryptographic Module Validation Program.

Elastic Load Balancing bietet die folgenden FIPS Sicherheitsrichtlinien für Network Load Balancer:

• ELBSecurityPolicy-TLS13-1-3-FIPS-2023-04

• ELBSecurityPolicy-TLS13-1-2-Res-FIPS-2023-04

• ELBSecurityPolicy-TLS13-1-2-FIPS-2023-04(Empfohlen)

• ELBSecurityPolicy-TLS13-1-2-Ext0-FIPS-2023-04

• ELBSecurityPolicy-TLS13-1-2-Ext1-FIPS-2023-04

• ELBSecurityPolicy-TLS13-1-2-Ext2-FIPS-2023-04

• ELBSecurityPolicy-TLS13-1-1-FIPS-2023-04

• ELBSecurityPolicy-TLS13-1-0-FIPS-2023-04

Von FS unterstützte Richtlinien

Elastic Load Balancing bietet die folgenden von FS (Forward Secrecy) unterstützten Sicherheitsrichtlinien für Network Load Balancer:

• ELBSecurityPolicy-FS-1-2-Res-2020-10

• ELBSecurityPolicy-FS-1-2-Res-2019-08

• ELBSecurityPolicy-FS-1-2-2019-08

• ELBSecurityPolicy-FS-1-1-2019-08

• ELBSecurityPolicy-FS-2018-06

TLS1.0 — 1.2 Sicherheitsrichtlinien

Elastic Load Balancing bietet die folgenden Sicherheitsrichtlinien der Versionen TLS 1.0 bis 1.2 für Network Load Balancer:

• ELBSecurityPolicy-TLS-1-2-Ext-2018-06

• ELBSecurityPolicy-TLS-1-2-2017-01

• ELBSecurityPolicy-TLS-1-1-2017-01

• ELBSecurityPolicy-2016-08

• ELBSecurityPolicy-TLS-1-0-2015-04

• ELBSecurityPolicy-2015-05(identisch mit) ELBSecurityPolicy-2016-08

TLSProtokolle und Chiffren

TLS 1.3

In der folgenden Tabelle werden die unterstützten TLS Protokolle und Chiffren für die verfügbaren TLS 1.3-Sicherheitsrichtlinien beschrieben.

Hinweis: Das ELBSecurityPolicy- Präfix wurde aus den Richtliniennamen in der Zeile mit den Sicherheitsrichtlinien entfernt.

Beispiel: Die Sicherheitsrichtlinie ELBSecurityPolicy-TLS13-1-2-2021-06 wird als angezeigtTLS13-1-2-2021-06.

Sicherheitsrichtlinien
TLSProtokolle
Protokoll- TLSv1							✓
Protokoll- TLSv1 1.						✓	✓
Protokoll- TLSv1 2.	✓		✓	✓	✓	✓	✓
Protokoll- TLSv1 3.	✓	✓	✓	✓	✓	✓	✓
TLSChiffren
TLS_ _128_ _ AES GCM SHA256	✓	✓	✓	✓	✓	✓	✓
TLS_ _256_ _ AES GCM SHA384	✓	✓	✓	✓	✓	✓	✓
TLS_ 0_ 05_ CHACHA2 POLY13 SHA256	✓	✓	✓	✓	✓	✓	✓
ECDHE-ECDSA-AES128-GCM-SHA256	✓		✓	✓	✓	✓	✓
ECDHE-RSA-AES128-GCM-SHA256	✓		✓	✓	✓	✓	✓
ECDHE-ECDSA-AES128-SHA256	✓			✓	✓	✓	✓
ECDHE-RSA-AES128-SHA256	✓			✓	✓	✓	✓
ECDHE-ECDSA-AES128-SHA				✓		✓	✓
ECDHE-RSA-AES128-SHA				✓		✓	✓
ECDHE-ECDSA-AES256-GCM-SHA384	✓		✓	✓	✓	✓	✓
ECDHE-RSA-AES256-GCM-SHA384	✓		✓	✓	✓	✓	✓
ECDHE-ECDSA-AES256-SHA384	✓			✓	✓	✓	✓
ECDHE-RSA-AES256-SHA384	✓			✓	✓	✓	✓
ECDHE-RSA-AES256-SHA				✓		✓	✓
ECDHE-ECDSA-AES256-SHA				✓		✓	✓
AES128-GCM-SHA256				✓	✓	✓	✓
AES128-SHA256				✓	✓	✓	✓
AES128-SHA				✓		✓	✓
AES256-GCM-SHA384				✓	✓	✓	✓
AES256-SHA256				✓	✓	✓	✓
AES256-SHA				✓		✓	✓

Um einen TLS Listener zu erstellen, der eine 1.3-Richtlinie verwendet, verwenden TLS Sie CLI

Verwenden Sie den Befehl create-listener mit einer beliebigen TLS 1.3-Sicherheitsrichtlinie.

Das Beispiel verwendet die Sicherheitsrichtlinie. ELBSecurityPolicy-TLS13-1-2-2021-06

aws elbv2 create-listener --name my-listener \
--protocol TLS --port 443 \ 
--ssl-policy ELBSecurityPolicy-TLS13-1-2-2021-06

Um einen TLS Listener so zu ändern, dass er eine TLS 1.3-Richtlinie verwendet CLI

Verwenden Sie den Befehl modify-listener mit einer beliebigen 1.3-Sicherheitsrichtlinie. TLS

Das Beispiel verwendet die Sicherheitsrichtlinie. ELBSecurityPolicy-TLS13-1-2-2021-06

aws elbv2 modify-listener \
--listener-arn arn:aws:elasticloadbalancing:us-east-1:123456789012:listener/app/my-load-balancer/abcdef01234567890/1234567890abcdef0 \
--ssl-policy ELBSecurityPolicy-TLS13-1-2-2021-06

Um die Sicherheitsrichtlinien anzuzeigen, die von einem Listener verwendet werden, verwenden Sie CLI

Verwenden Sie den Befehl describe-listener zusammen mit dem Ihres Listenersarn.

aws elbv2 describe-listener \
--listener-arn arn:aws:elasticloadbalancing:us-east-1:123456789012:listener/app/my-load-balancer/abcdef01234567890/1234567890abcdef0

Um die Konfiguration einer 1.3-Sicherheitsrichtlinie mit TLS dem CLI

Verwenden Sie den describe-ssl-policiesBefehl mit einer beliebigen TLS1.3-Sicherheitsrichtlinie.

Das Beispiel verwendet die ELBSecurityPolicy-TLS13-1-2-2021-06 Sicherheitsrichtlinie.

aws elbv2 describe-ssl-policies \
--names ELBSecurityPolicy-TLS13-1-2-2021-06

FIPS

Wichtig

Richtlinien ELBSecurityPolicy-TLS13-1-1-FIPS-2023-04 und ELBSecurityPolicy-TLS13-1-0-FIPS-2023-04 werden nur aus Gründen der Kompatibilität mit älteren Versionen bereitgestellt. Sie verwenden zwar FIPS Kryptografie mit dem Modul FIPS14 0, entsprechen aber möglicherweise nicht den neuesten NIST Konfigurationsrichtlinien. TLS

In der folgenden Tabelle werden die unterstützten TLS Protokolle und Chiffren für die verfügbaren Sicherheitsrichtlinien beschrieben. FIPS

Hinweis: Das ELBSecurityPolicy- Präfix wurde aus den Richtliniennamen in der Zeile mit den Sicherheitsrichtlinien entfernt.

Beispiel: Die Sicherheitsrichtlinie ELBSecurityPolicy-TLS13-1-2-FIPS-2023-04 wird als angezeigtTLS13-1-2-FIPS-2023-04.

Sicherheitsrichtlinien
TLSProtokolle
Protokoll- TLSv1								✓
Protokoll- TLSv1 1.							✓	✓
Protokoll- TLSv1 2.		✓	✓	✓	✓	✓	✓	✓
Protokoll- TLSv1 3.	✓	✓	✓	✓	✓	✓	✓	✓
TLSChiffren
TLS_ _128_ _ AES GCM SHA256	✓	✓	✓	✓	✓	✓	✓	✓
TLS_ _256_ _ AES GCM SHA384	✓	✓	✓	✓	✓	✓	✓	✓
ECDHE-ECDSA-AES128-GCM-SHA256		✓	✓	✓	✓	✓	✓	✓
ECDHE-RSA-AES128-GCM-SHA256		✓	✓	✓	✓	✓	✓	✓
ECDHE-ECDSA-AES128-SHA256			✓	✓	✓	✓	✓	✓
ECDHE-RSA-AES128-SHA256			✓	✓	✓	✓	✓	✓
ECDHE-ECDSA-AES128-SHA				✓		✓	✓	✓
ECDHE-RSA-AES128-SHA				✓		✓	✓	✓
ECDHE-ECDSA-AES256-GCM-SHA384		✓	✓	✓	✓	✓	✓	✓
ECDHE-RSA-AES256-GCM-SHA384		✓	✓	✓	✓	✓	✓	✓
ECDHE-ECDSA-AES256-SHA384			✓	✓	✓	✓	✓	✓
ECDHE-RSA-AES256-SHA384			✓	✓	✓	✓	✓	✓
ECDHE-RSA-AES256-SHA				✓		✓	✓	✓
ECDHE-ECDSA-AES256-SHA				✓		✓	✓	✓
AES128-GCM-SHA256					✓	✓	✓	✓
AES128-SHA256					✓	✓	✓	✓
AES128-SHA						✓	✓	✓
AES256-GCM-SHA384					✓	✓	✓	✓
AES256-SHA256					✓	✓	✓	✓
AES256-SHA						✓	✓	✓

Um einen TLS Listener zu erstellen, der eine Richtlinie verwendet, verwenden Sie FIPS CLI

Verwenden Sie den Befehl create-listener mit einer beliebigen Sicherheitsrichtlinie. FIPS

Das Beispiel verwendet die Sicherheitsrichtlinie. ELBSecurityPolicy-TLS13-1-2-FIPS-2023-04

aws elbv2 create-listener --name my-listener \
--protocol TLS --port 443 \ 
--ssl-policy ELBSecurityPolicy-TLS13-1-2-FIPS-2023-04

Um einen TLS Listener so zu ändern, dass er eine FIPS Richtlinie verwendet, verwenden Sie CLI

Verwenden Sie den Befehl modify-listener mit einer beliebigen Sicherheitsrichtlinie. FIPS

Das Beispiel verwendet die Sicherheitsrichtlinie. ELBSecurityPolicy-TLS13-1-2-FIPS-2023-04

aws elbv2 modify-listener \
--listener-arn arn:aws:elasticloadbalancing:us-east-1:123456789012:listener/app/my-load-balancer/abcdef01234567890/1234567890abcdef0 \
--ssl-policy ELBSecurityPolicy-TLS13-1-2-FIPS-2023-04

Um die Sicherheitsrichtlinien anzuzeigen, die von einem Listener verwendet werden, verwenden Sie CLI

Verwenden Sie den Befehl describe-listener zusammen mit dem Ihres Listenersarn.

aws elbv2 describe-listener \
--listener-arn arn:aws:elasticloadbalancing:us-east-1:123456789012:listener/app/my-load-balancer/abcdef01234567890/1234567890abcdef0

Um die Konfiguration einer Sicherheitsrichtlinie mit dem FIPS CLI

Verwenden Sie den describe-ssl-policiesBefehl mit einer beliebigen FIPSSicherheitsrichtlinie.

Das Beispiel verwendet die ELBSecurityPolicy-TLS13-1-2-FIPS-2023-04 Sicherheitsrichtlinie.

aws elbv2 describe-ssl-policies \
--names ELBSecurityPolicy-TLS13-1-2-FIPS-2023-04

FS

In der folgenden Tabelle werden die unterstützten TLS Protokolle und Chiffren für die verfügbaren Sicherheitsrichtlinien beschrieben, die von FS unterstützt werden.

Hinweis: Das ELBSecurityPolicy- Präfix wurde aus den Richtliniennamen in der Zeile mit den Sicherheitsrichtlinien entfernt.

Beispiel: Die Sicherheitsrichtlinie ELBSecurityPolicy-FS-2018-06 wird als angezeigtFS-2018-06.

Sicherheitsrichtlinien
TLSProtokolle
Protokoll- TLSv1	✓					✓
Protokoll- TLSv1 1.	✓				✓	✓
Protokoll- TLSv1 2.	✓	✓	✓	✓	✓	✓
TLSChiffren
ECDHE-ECDSA-AES128-GCM-SHA256	✓	✓	✓	✓	✓	✓
ECDHE-RSA-AES128-GCM-SHA256	✓	✓	✓	✓	✓	✓
ECDHE-ECDSA-AES128-SHA256	✓		✓	✓	✓	✓
ECDHE-RSA-AES128-SHA256	✓		✓	✓	✓	✓
ECDHE-ECDSA-AES128-SHA	✓			✓	✓	✓
ECDHE-RSA-AES128-SHA	✓			✓	✓	✓
ECDHE-ECDSA-AES256-GCM-SHA384	✓	✓	✓	✓	✓	✓
ECDHE-RSA-AES256-GCM-SHA384	✓	✓	✓	✓	✓	✓
ECDHE-ECDSA-AES256-SHA384	✓		✓	✓	✓	✓
ECDHE-RSA-AES256-SHA384	✓		✓	✓	✓	✓
ECDHE-RSA-AES256-SHA	✓			✓	✓	✓
ECDHE-ECDSA-AES256-SHA	✓			✓	✓	✓
AES128-GCM-SHA256	✓
AES128-SHA256	✓
AES128-SHA	✓
AES256-GCM-SHA384	✓
AES256-SHA256	✓
AES256-SHA	✓

Um einen TLS Listener zu erstellen, der eine von FS unterstützte Richtlinie verwendet, verwenden Sie CLI

Verwenden Sie den Befehl create-listener mit jeder von FS unterstützten Sicherheitsrichtlinie.

Das Beispiel verwendet die Sicherheitsrichtlinie. ELBSecurityPolicy-FS-2018-06

aws elbv2 create-listener --name my-listener \
--protocol TLS --port 443 \ 
--ssl-policy ELBSecurityPolicy-FS-2018-06

Um einen TLS Listener so zu ändern, dass er eine von FS unterstützte Richtlinie verwendet, verwenden Sie CLI

Verwenden Sie den Befehl modify-listener mit jeder von FS unterstützten Sicherheitsrichtlinie.

Das Beispiel verwendet die Sicherheitsrichtlinie. ELBSecurityPolicy-FS-2018-06

aws elbv2 modify-listener \
--listener-arn arn:aws:elasticloadbalancing:us-east-1:123456789012:listener/app/my-load-balancer/abcdef01234567890/1234567890abcdef0 \
--ssl-policy ELBSecurityPolicy-FS-2018-06

Um die Sicherheitsrichtlinien anzuzeigen, die von einem Listener verwendet werden, verwenden Sie CLI

Verwenden Sie den Befehl describe-listener zusammen mit dem Ihres Listenersarn.

aws elbv2 describe-listener \
--listener-arn arn:aws:elasticloadbalancing:us-east-1:123456789012:listener/app/my-load-balancer/abcdef01234567890/1234567890abcdef0

Um die Konfiguration einer von FS unterstützten Sicherheitsrichtlinie anzuzeigen, verwenden Sie den CLI

Verwenden Sie den describe-ssl-policiesBefehl mit einer beliebigen Sicherheitsrichtlinie, die von FS unterstützt wird.

Das Beispiel verwendet die ELBSecurityPolicy-FS-2018-06 Sicherheitsrichtlinie.

aws elbv2 describe-ssl-policies \
--names ELBSecurityPolicy-FS-2018-06

TLS 1.0 - 1.2

In der folgenden Tabelle werden die unterstützten TLS Protokolle und Verschlüsselungen für die verfügbaren TLS 1.0-1.2-Sicherheitsrichtlinien beschrieben.

Hinweis: Das ELBSecurityPolicy- Präfix wurde aus den Richtliniennamen in der Zeile Sicherheitsrichtlinien entfernt.

Beispiel: Die Sicherheitsrichtlinie ELBSecurityPolicy-TLS-1-2-Ext-2018-06 wird als angezeigtTLS-1-2-Ext-2018-06.

Sicherheitsrichtlinien
TLSProtokolle
Protokoll- TLSv1	✓				✓
Protokoll- TLSv1 1.	✓			✓	✓
Protokoll- TLSv1 2.	✓	✓	✓	✓	✓
TLSChiffren
ECDHE-ECDSA-AES128-GCM-SHA256	✓	✓	✓	✓	✓
ECDHE-RSA-AES128-GCM-SHA256	✓	✓	✓	✓	✓
ECDHE-ECDSA-AES128-SHA256	✓	✓	✓	✓	✓
ECDHE-RSA-AES128-SHA256	✓	✓	✓	✓	✓
ECDHE-ECDSA-AES128-SHA	✓	✓		✓	✓
ECDHE-RSA-AES128-SHA	✓	✓		✓	✓
ECDHE-ECDSA-AES256-GCM-SHA384	✓	✓	✓	✓	✓
ECDHE-RSA-AES256-GCM-SHA384	✓	✓	✓	✓	✓
ECDHE-ECDSA-AES256-SHA384	✓	✓	✓	✓	✓
ECDHE-RSA-AES256-SHA384	✓	✓	✓	✓	✓
ECDHE-RSA-AES256-SHA	✓	✓		✓	✓
ECDHE-ECDSA-AES256-SHA	✓	✓		✓	✓
AES128-GCM-SHA256	✓	✓	✓	✓	✓
AES128-SHA256	✓	✓	✓	✓	✓
AES128-SHA	✓	✓		✓	✓
AES256-GCM-SHA384	✓	✓	✓	✓	✓
AES256-SHA256	✓	✓	✓	✓	✓
AES256-SHA	✓	✓		✓	✓
DES-CBC3-SHA					✓

* Verwenden Sie diese Richtlinie nur, wenn Sie einen älteren Client unterstützen müssen, der die DES - CBC3 - SHA Chiffre benötigt, was eine schwache Verschlüsselung ist.

Um einen TLS Listener zu erstellen, der eine 1.0-1.2-Richtlinie verwendet, verwenden Sie TLS CLI

Verwenden Sie den Befehl create-listener mit einer beliebigen Sicherheitsrichtlinie, die von 1.0-1.2 unterstützt wird. TLS

Das Beispiel verwendet die Sicherheitsrichtlinie. ELBSecurityPolicy-2016-08

aws elbv2 create-listener --name my-listener \
--protocol TLS --port 443 \ 
--ssl-policy ELBSecurityPolicy-2016-08

Um einen TLS Listener so zu ändern, dass er eine TLS 1.0-1.2-Richtlinie verwendet CLI

Verwenden Sie den Befehl modify-listener mit einer beliebigen Sicherheitsrichtlinie, die von 1.0-1.2 unterstützt wird. TLS

Das Beispiel verwendet die Sicherheitsrichtlinie. ELBSecurityPolicy-2016-08

aws elbv2 modify-listener \
--listener-arn arn:aws:elasticloadbalancing:us-east-1:123456789012:listener/app/my-load-balancer/abcdef01234567890/1234567890abcdef0 \
--ssl-policy ELBSecurityPolicy-2016-08

Um die Sicherheitsrichtlinien anzuzeigen, die von einem Listener verwendet werden, verwenden Sie CLI

Verwenden Sie den Befehl describe-listener zusammen mit dem Ihres Listenersarn.

aws elbv2 describe-listener \
--listener-arn arn:aws:elasticloadbalancing:us-east-1:123456789012:listener/app/my-load-balancer/abcdef01234567890/1234567890abcdef0

Um die Konfiguration einer TLS 1.0-1.2-Sicherheitsrichtlinie mit dem CLI

Verwenden Sie den describe-ssl-policiesBefehl mit einer beliebigen Sicherheitsrichtlinie, die von TLS1.0-1.2 unterstützt wird.

Das Beispiel verwendet die ELBSecurityPolicy-2016-08 Sicherheitsrichtlinie.

aws elbv2 describe-ssl-policies \
--names ELBSecurityPolicy-2016-08

ALPNRichtlinien

Application-Layer Protocol Negotiation (ALPN) ist eine TLS Erweiterung, die bei den ersten TLS Handshake-Hello-Nachrichten gesendet wird. ALPNermöglicht es der Anwendungsebene, auszuhandeln, welche Protokolle über eine sichere Verbindung verwendet werden sollen, z. B. /1 und /2. HTTP HTTP

Wenn der Client eine ALPN Verbindung initiiert, vergleicht der Load Balancer die ALPN Client-Einstellungsliste mit seiner Richtlinie. ALPN Wenn der Client ein Protokoll aus der ALPN Richtlinie unterstützt, stellt der Load Balancer die Verbindung auf der Grundlage der Präferenzliste der Richtlinie her. ALPN Andernfalls verwendet der Load Balancer nicht. ALPN

Unterstützte Richtlinien ALPN

Die folgenden ALPN Richtlinien werden unterstützt:

HTTP1Only

Nur verhandeln HTTP /1. *. Die ALPN Präferenzliste lautet http/1.1, http/1.0.

HTTP2Only

HTTPNur verhandeln /2. Die ALPN Präferenzliste ist h2.

HTTP2Optional

Bevorzugen Sie HTTP /1. * gegenüber HTTP /2 (was für HTTP /2-Tests nützlich sein kann). Die ALPN Präferenzliste lautet http/1.1, http/1.0, h2.

HTTP2Preferred

Lieber HTTP /2 als /1. *. HTTP Die ALPN Präferenzliste ist h2, http/1.1, http/1.0.

None

Verhandeln Sie nicht. ALPN Dies ist die Standardeinstellung.

ALPNVerbindungen aktivieren

Sie können ALPN Verbindungen aktivieren, wenn Sie einen TLS Listener erstellen oder ändern. Weitere Informationen erhalten Sie unter Hinzufügen eines Listeners und Aktualisieren Sie die ALPN Richtlinie.