Configure un oyente HTTPS para su Classic Load Balancer - Elastic Load Balancing

Si proporcionásemos una traducción de la versión en inglés de la guía, prevalecerá la versión en inglés de la guía si hubiese algún conflicto. La traducción se proporciona mediante traducción automática.

Configure un oyente HTTPS para su Classic Load Balancer

A escuchar es un proceso que comprueba las solicitudes de conexión. El agente de escucha se configura con un protocolo y un puerto para las conexiones frontend (entre el cliente y el balanceador de carga) y otro protocolo y otro puerto para las conexiones backend (entre el balanceador de carga y la instancia). Para obtener más información sobre la configuración de los puertos, los protocolos y los agentes de escucha admitidos en Elastic Load Balancing, consulte Agentes de escucha de los Classic Load Balancer.

Si tiene un balanceador de carga con un agente de escucha que acepta solicitudes HTTP en el puerto 80, puede agregar otro agente de escucha que acepte solicitudes HTTPS en el puerto 443. Si especifica que el agente de escucha HTTPS debe enviar las solicitudes a las instancias a través del puerto 80, el balanceador de carga terminará las solicitudes SSL y la comunicación entre el balanceador de carga y las instancias que no estén cifradas. Si el agente de escucha HTTPS envía las solicitudes a las instancias a través del puerto 443, se cifrará la comunicación entre el balanceador de carga y las instancias.

Si el balanceador de carga utiliza una conexión cifrada para comunicarse con las instancias, tiene la opción de habilitar la autenticación de las instancias. De este modo, se asegura de que el balanceador de carga solamente se comunica con una instancia si su clave pública coincide con la clave especificada en el balanceador de carga para este fin.

Para obtener información sobre la creación de un nuevo agente de escucha HTTPS, consulte Crear un Classic Load Balancer con una escucha HTTPS.

Instancias de destino que están fuera de línea especificando un grupo de recursos de AWS como destino.Contenido

Prerequisites

Para habilitar la compatibilidad con HTTPS en un agente de escucha HTTPS, debe implementar un certificado de servidor SSL en el balanceador de carga. El balanceador de carga utiliza el certificado para terminar y descifrar las solicitudes antes de enviarlas a las instancias. Si no dispone de un certificado SSL, puede crear uno. Para obtener más información, consulte Certificados SSL/TLS para Classic Load Balancers.

Añadir un escucha HTTPS usando la consola

Puede agregar un agente de escucha HTTPS a un balanceador de carga existente.

Para agregar un agente de escucha HTTPS a un balanceador de carga

  1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación, en LOAD BALANCING (EQUILIBRIO DE CARGA), elija Load Balancers (Balanceadores de carga).

  3. Seleccione el balanceador de carga.

  4. En el Oyentes pestaña, elegir Editar.

  5. En el Editar listas de escucha página, elegir Añadir.

  6. Para Protocolo de equilibrador de carga, seleccionar HTTPS (HTTP segura). Estas actualizaciones Puerto del equilibrador de carga, , Protocolo de instancia, y Puerto de instancia.

    importante

    De forma predeterminada, el protocolo de la instancia es HTTP. Si desea configurar la autenticación de instancias backend, cambie el protocolo de la instancia a HTTPS (HTTP seguro). Esto cambiará también el puerto de la instancia.

  7. Para Cipher, elegir Cambio. Verificar que Política de seguridad predefinida está seleccionado y configurado para ELBSecurityPolicy-2016-08. Le recomendamos que utilice siempre la política de seguridad predefinida más reciente. Si necesita utilizar una política de seguridad predefinida o crear una política personalizada, consulte Actualizar la configuración de la negociación SSL.

  8. Si ya tiene un certificado implementado en el balanceador de carga y desea seguir usándolo, puede omitir este paso.

    Para Certificado SSL, elegir Cambioy luego realice una de las siguientes acciones:

    • Si crea o importa un certificado utilizando AWS Certificate Manager, seleccionar Elija un certificado existente de AWS Certificate Manager (ACM), seleccione el certificado de Certificado, y luego elegir Guardar.

      nota

      Esta opción solo está disponible en regiones que admiten AWS Certificate Manager.

    • Si ha importado un certificado mediante IAM, seleccione Elija un certificado existente de AWS Identity and Access Management (IAM), seleccione el certificado de Certificado, y luego elegir Guardar.

    • Si tienes un certificado SSL para importar, pero ACM no es compatible en esta región, seleccione Cargar un nuevo certificado SSL para AWS Identity and Access Management (IAM). Escriba el nombre del certificado. En Llave privada, copie y pegue el contenido del archivo de clave privada (codificación PEM). En Certificado de clave pública, copie y pegue el contenido del archivo de certificado de clave pública (codificación PEM). En Cadena de certificados, copie y pegue el contenido del archivo de la cadena de certificados (codificación PEM), a menos que esté utilizando un certificado firmado por sí mismo y no es importante que los navegadores acepten de forma implícita el certificado.

  9. (Opcional) Elegir Añadir para añadir más visualizadores.

  10. Elegir Guardar para añadir los listadores que acaba de configurar.

  11. (Opcional) Para configurar la autenticación de instancias backend en un balanceador de carga existente, debe utilizar AWS CLI o una API, ya que esta tarea no puede hacerse a través de la consola. Para obtener más información, consulte Configurar autenticación de instancia back-end.

Añada un oyente HTTPS utilizando el AWS CLI

Puede agregar un agente de escucha HTTPS a un balanceador de carga existente.

Para agregar un agente de escucha HTTPS al balanceador de carga a través de AWS CLI

  1. Obtenga el nombre de recurso de Amazon (ARN) del certificado SSL. Por ejemplo:

    ACM

    arn:aws:acm:region:123456789012:certificate/12345678-1234-1234-1234-123456789012

    IAM

    arn:aws:iam::123456789012:server-certificate/my-server-certificate
  2. Utilice lo siguiente crear-listadores-equilibradores-de-carga comando para agregar un oyente al equilibrador de carga que acepta solicitudes HTTPS en el puerto 443 y envía las solicitudes a las instancias del puerto 80 utilizando HTTP:

    aws elb create-load-balancer-listeners --load-balancer-name my-load-balancer --listeners Protocol=HTTPS,LoadBalancerPort=443,InstanceProtocol=HTTP,InstancePort=80,SSLCertificateId=ARN

    Si desea configurar la autenticación de instancias backend, utilice el siguiente comando para agregar un agente de escucha que acepte las solicitudes HTTPS en el puerto 443 y envíe las solicitudes a las instancias en el puerto 443 a través de HTTPS:

    aws elb create-load-balancer-listeners --load-balancer-name my-load-balancer --listeners Protocol=HTTPS,LoadBalancerPort=443,InstanceProtocol=HTTPS,InstancePort=443,SSLCertificateId=ARN
  3. (Opcional) Puede utilizar lo siguiente describir-equilibradores-de-carga para ver los detalles actualizados del equilibrador de carga:

    aws elb describe-load-balancers --load-balancer-name my-load-balancer

    A continuación se muestra un ejemplo de respuesta.

    { "LoadBalancerDescriptions": [ { ... "ListenerDescriptions": [ { "Listener": { "InstancePort": 80, "SSLCertificateId": "ARN", "LoadBalancerPort": 443, "Protocol": "HTTPS", "InstanceProtocol": "HTTP" }, "PolicyNames": [ "ELBSecurityPolicy-2016-08" ] }, { "Listener": { "InstancePort": 80, "LoadBalancerPort": 80, "Protocol": "HTTP", "InstanceProtocol": "HTTP" }, "PolicyNames": [] } ], ... } ] }
  4. (Opcional) El agente de escucha HTTPS se creó utilizando la política de seguridad predeterminada. Si desea especificar una política de seguridad predefinida o una política de seguridad personalizada, utilice el crear-política-equilibrador-de-carga y establecer-políticas-de-equilibrador-de-carga-de-equilibrio comandos. Para obtener más información, consulte Actualice la configuración de negociación SSL utilizando el AWS CLI.

  5. (Opcional) Para configurar la autenticación de instancia de back-end, utilice el set-load-equilibraci-policies-for-backend-server comando. Para obtener más información, consulte Configurar autenticación de instancia back-end.