Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Création d'un écouteur HTTPS pour votre Application Load Balancer
Un écouteur vérifie les demandes de connexion. Vous définissez un écouteur lorsque vous créez votre équilibreur de charge et vous pouvez ajouter des écouteurs à votre équilibreur de charge à tout moment.
Pour créer un écouteur HTTPS, vous devez déployer au moins un certificat de serveur SSL sur votre équilibreur de charge. L'équilibreur de charge utilise un certificat de serveur pour mettre fin à la connexion front-end, puis déchiffrer les demandes des clients avant de les envoyer aux cibles. Vous devez également spécifier une stratégie de sécurité, qui est utilisée pour négocier des connexions sécurisées entre les clients et l'équilibreur de charge.
Si vous devez transmettre du trafic chiffré à des cibles sans que l'équilibreur de charge ne le déchiffre, vous pouvez créer un Network Load Balancer ou un Classic Load Balancer avec un écouteur TCP sur le port 443. Avec un écouteur TCP, l'équilibreur de charge transmet le trafic chiffré aux cibles sans le déchiffrer.
Les Application Load Balancers ne prennent pas en charge les clés ED25519.
Les informations fournies dans cette page vous aident à créer un écouteur HTTPS pour votre équilibreur de charge. Pour ajouter un écouteur HTTP à votre équilibreur de charge, veuillez consulter Création d'un écouteur HTTP pour votre Application Load Balancer.
Table des matières
Certificats SSL
L'équilibreur de charge exige des certificats X.509 (certificats de serveurs SSL/TLS). Les certificats constituent une forme numérique d'identification émise par une autorité de certification (AC). Un certificat contient les informations d'identification, une période de validité, une clé publique, un numéro de série et la signature numérique de l'émetteur.
Lorsque vous créez un certificat à utiliser avec votre équilibreur de charge, vous devez spécifier un nom de domaine. Le nom de domaine figurant sur le certificat doit correspondre à l'enregistrement du nom de domaine personnalisé, afin que nous puissions vérifier la connexion TLS. S'ils ne correspondent pas, le trafic n'est pas chiffré.
Vous devez spécifier un nom de domaine complet (FQDN) pour votre certificat, tel que www.example.com ou un nom de domaine apex tel que example.com. Vous pouvez également utiliser un astérisque (*) comme caractère générique pour protéger plusieurs noms de sites dans le même domaine. Lorsque vous demandez un certificat générique, l'astérisque (*) doit se trouver tout à gauche du nom de domaine et ne peut protéger qu'un seul niveau de sous-domaine. Par exemple, *.example.com protège corp.example.com et images.example.com, mais ne peut pas protéger test.login.example.com. Notez également que *.example.com ne protège que les sous-domaines de example.com, il ne protège pas le domaine strict ou apex (example.com). Le nom générique apparaît dans le champ Objet et dans l'extension Autre nom de l'objet du certificat. Pour plus d'informations sur les certificats publics, consultez Demande de certificat public du Guide de l'utilisateur AWS Certificate Manager .
Nous vous recommandons de créer des certificats pour votre équilibreur de charge à l'aide d'AWS Certificate Manager (ACM)
Vous pouvez également utiliser les outils SSL/TLS pour créer une demande de signature de certificat (CSR), puis faire signer la CSR par une autorité de certification pour produire un certificat, puis importer le certificat dans ACM ou télécharger le certificat vers AWS Identity and Access Management (IAM). Pour plus d'informations sur l'importation de certificats dans ACM, consultez Importation de certificats dans le Guide de l'utilisateur AWS Certificate Manager . Pour de plus amples informations sur le chargement des certificats dans IAM, consultez Utilisation des certificats de serveur dans le Guide de l'utilisateur IAM.
Certificat par défaut
Lorsque vous créez un écouteur HTTPS, vous devez spécifier précisément un certificat par défaut. Ce certificat est connu comme le certificat par défaut. Vous pouvez remplacer le certificat par défaut après avoir créé l'écouteur HTTPS. Pour plus d’informations, consultez Remplacer le certificat par défaut.
Si vous spécifiez des certificats supplémentaires dans une liste de certificats, le certificat par défaut est uniquement utilisé si un client se connecte sans utiliser le protocole SNI (Server Name Indication) pour spécifier un nom d'hôte ou si la liste de certificats ne contient aucun certificat correspondant.
Si vous ne spécifiez aucun certificat supplémentaire, mais que vous que devez héberger plusieurs applications sécurisées via un seul équilibreur de charge, vous pouvez utiliser un certificat générique ou ajouter un Subject Alternative Name (SAN) pour chaque domaine supplémentaire à votre certificat.
Liste de certificats
Après avoir créé un écouteur HTTPS, il comprend un certificat par défaut et une liste de certificats vide. Vous pouvez éventuellement ajouter des certificats à la liste de certificats pour l'écouteur. Grâce à une liste de certificats, l’équilibreur de charge peut ainsi prendre en charge plusieurs domaines sur le même port et fournir un certificat différent pour chaque domaine. Pour plus d’informations, consultez Ajouter des certificats à la liste des certificats.
L’équilibreur de charge prend également en charge un algorithme de sélection de certificat intelligent avec prise en charge de SNI. Si le nom d'hôte fourni par un client correspond à un seul certificat de la liste de certificats, l'équilibreur de charge sélectionne ce certificat. Si un nom d'hôte fourni par un client correspond à plusieurs certificats de la liste de certificats, l'équilibreur de charge sélectionne celui qui est le mieux adapté par rapport aux capacités du client. La sélection des certificats dépend des critères suivants, dans l'ordre indiqué :
-
Algorithme de clé publique (préférer ECDSA plutôt que RSA)
-
Algorithme de hachage (préférer SHA plutôt que MD5)
-
Longueur de clé (préférer la plus longue)
-
Période de validité
Les entrées de journaux d'accès de l'équilibreur de charge indiquent le nom d'hôte spécifié par le client et le certificat présenté à ce dernier. Pour plus d’informations, consultez Entrées des journaux d'accès.
Renouvellement des certificats
Chaque certificat est associé à une durée de validité. Vous devez veiller à renouveler ou remplacer chaque certificat pour votre équilibreur de charge avant la fin de la période de validité. Cela inclut le certificat par défaut les certificats dans une liste de certificats. Le renouvellement ou le remplacement d'un certificat n'affecte pas les demandes en cours reçues par le nœud d'équilibreur de charge et qui sont en attente d'acheminement vers une cible saine. Après le renouvellement d'un certificat, les nouvelles demandes utilisent le certificat renouvelé. Après le remplacement d'un certificat, les nouvelles demandes utilisent le nouveau certificat.
La gestion des renouvellements et des remplacements s'effectue comme suit :
-
Les certificats fournis AWS Certificate Manager et déployés sur votre équilibreur de charge peuvent être renouvelés automatiquement. ACM essaie de renouveler les certificats avant leur expiration. Pour plus d'informations, consultez Renouvellement géré dans le Guide de l'utilisateur AWS Certificate Manager .
-
Si vous avez importé un certificat dans ACM, vous devez surveiller sa date d'expiration et le renouveler avant qu'il n'arrive à expiration. Pour plus d'informations, consultez la section Importation de certificats dans le AWS Certificate Manager Guide de l'utilisateur.
-
Si vous avez importé un certificat dans IAM, vous devez en créer un nouveau, l'importer dans ACM ou IAM, l'ajouter dans votre équilibreur de charge et supprimer de votre équilibreur de charge le certificat arrivé à expiration.
Stratégies de sécurité
Elastic Load Balancing utilise une configuration de négociation Secure Socket Layer (SSL) (ou politique de sécurité) pour négocier des connexions SSL entre un client et l'équilibreur de charge. Une stratégie de sécurité est une combinaison de protocoles et de chiffrements. Le protocole établit une connexion sécurisée entre un client et un serveur, et s'assure que toutes les données transmises entre le client et votre équilibreur de charge sont privées. Un chiffrement est un algorithme de chiffrement qui utilise des clés de chiffrement pour créer un message codé. Les protocoles utilisent plusieurs chiffrements pour chiffrer les données sur Internet. Pendant le processus de négociation de connexion , le client et l'équilibreur de charge présentent une liste de chiffrements et de protocoles pris en charge par chacun d'entre eux dans l'ordre de préférence. Par défaut, le premier chiffrement sur la liste du serveur qui correspond à l'un des chiffrements du client est sélectionné pour la connexion sécurisée.
Considérations :
-
Application Load Balancers prennent en charge la renégociation SSL pour les connexions cibles uniquement.
-
Application Load Balancers ne prennent pas en charge les politiques de sécurité personnalisées.
-
Il s'agit
ELBSecurityPolicy-TLS13-1-2-2021-06de la politique de sécurité par défaut pour les écouteurs HTTPS créés à l'aide du AWS Management Console. -
Il s'agit
ELBSecurityPolicy-2016-08de la politique de sécurité par défaut pour les écouteurs HTTPS créés à l'aide du AWS CLI. -
Lorsque vous créez un écouteur HTTPS, il est nécessaire de sélectionner une politique de sécurité.
-
Nous recommandons la politique
ELBSecurityPolicy-TLS13-1-2-2021-06de sécurité, qui inclut le protocole TLS 1.3 et qui est rétrocompatible avec le protocole TLS 1.2.
-
-
Vous pouvez choisir la politique de sécurité qui est utilisée pour les connexions frontales, mais pas pour les connexions dorsales.
-
Pour les connexions principales, si l'un de vos écouteurs HTTPS utilise une politique de sécurité TLS 1.3, c'est la politique de sécurité qui est
ELBSecurityPolicy-TLS13-1-0-2021-06utilisée. Dans le cas contraire, la stratégie de sécuritéELBSecurityPolicy-2016-08est utilisée pour les connexions backend.
-
-
Pour respecter les normes de conformité et de sécurité qui nécessitent la désactivation de certaines versions du protocole TLS, ou pour prendre en charge les anciens clients nécessitant des chiffrements obsolètes, vous pouvez utiliser l'une des politiques de sécurité.
ELBSecurityPolicy-TLS-Pour consulter la version du protocole TLS pour les demandes adressées à votre Application Load Balancer, activez la journalisation des accès pour votre équilibreur de charge et examinez les entrées du journal d'accès correspondantes. Pour plus d'informations, consultez les journaux d'accès de votre Application Load Balancer. -
Vous pouvez restreindre les politiques de sécurité accessibles aux utilisateurs de votre pays Comptes AWS et en AWS Organizations utilisant les clés de condition Elastic Load Balancing dans vos politiques IAM et de contrôle des services (SCP), respectivement. Pour plus d'informations, voir Politiques de contrôle des services (SCP) dans le guide de l'AWS Organizations utilisateur
-
Les équilibreurs de charge des applications prennent en charge la reprise du TLS à l'aide du PSK (TLS 1.3) et des identifiants de session et des tickets de session (TLS 1.2 et versions antérieures). Les reprises ne sont prises en charge que dans les connexions à la même adresse IP d'Application Load Balancer. La fonctionnalité 0-RTT Data et l'extension early_data ne sont pas implémentées.
Stratégies de sécurité TLS 1.3
Elastic Load Balancing fournit les politiques de sécurité TLS 1.3 suivantes pour les équilibreurs de charge d'applications :
-
ELBSecurityPolicy-TLS13-1-2-2021-06(Recommandé) -
ELBSecurityPolicy-TLS13-1-2-Res-2021-06 -
ELBSecurityPolicy-TLS13-1-2-Ext1-2021-06 -
ELBSecurityPolicy-TLS13-1-2-Ext2-2021-06 -
ELBSecurityPolicy-TLS13-1-1-2021-06 -
ELBSecurityPolicy-TLS13-1-0-2021-06 -
ELBSecurityPolicy-TLS13-1-3-2021-06
Politiques de sécurité FIPS
Important
Tous les écouteurs sécurisés connectés à un Application Load Balancer doivent utiliser des politiques de sécurité FIPS ou des politiques de sécurité non FIPS ; elles ne peuvent pas être combinées. Si un Application Load Balancer existant possède au moins deux écouteurs utilisant des politiques non FIPS et que vous souhaitez qu'ils utilisent plutôt des politiques de sécurité FIPS, supprimez tous les écouteurs jusqu'à ce qu'il n'y en ait qu'un seul. Changez la politique de sécurité de l'écouteur en FIPS, puis créez des écouteurs supplémentaires à l'aide des politiques de sécurité FIPS. Vous pouvez également créer un nouvel Application Load Balancer avec de nouveaux écouteurs en utilisant uniquement les politiques de sécurité FIPS.
La norme fédérale de traitement de l'information (FIPS) est une norme gouvernementale américaine et canadienne qui spécifie les exigences de sécurité pour les modules cryptographiques qui protègent les informations sensibles. Pour en savoir plus, consultez la norme fédérale de traitement de l'information (FIPS) 140
Toutes les politiques FIPS tirent parti du module cryptographique AWS-LC validé FIPS. Pour en savoir plus, consultez la page du module cryptographique AWS-LC sur le site du programme de validation du module
Elastic Load Balancing fournit les politiques de sécurité FIPS suivantes pour les équilibreurs de charge d'application :
-
ELBSecurityPolicy-TLS13-1-3-FIPS-2023-04 -
ELBSecurityPolicy-TLS13-1-2-Res-FIPS-2023-04 -
ELBSecurityPolicy-TLS13-1-2-FIPS-2023-04(Recommandé) -
ELBSecurityPolicy-TLS13-1-2-Ext0-FIPS-2023-04 -
ELBSecurityPolicy-TLS13-1-2-Ext1-FIPS-2023-04 -
ELBSecurityPolicy-TLS13-1-2-Ext2-FIPS-2023-04 -
ELBSecurityPolicy-TLS13-1-1-FIPS-2023-04 -
ELBSecurityPolicy-TLS13-1-0-FIPS-2023-04
Politiques FS prises en charge
Elastic Load Balancing fournit les politiques de sécurité suivantes prises en charge par FS (Forward Secrecy) pour les équilibreurs de charge d'applications :
-
ELBSecurityPolicy-FS-1-2-Res-2020-10 -
ELBSecurityPolicy-FS-1-2-Res-2019-08 -
ELBSecurityPolicy-FS-1-2-2019-08 -
ELBSecurityPolicy-FS-1-1-2019-08 -
ELBSecurityPolicy-FS-2018-06
Politiques de sécurité TLS 1.0 - 1.2
Elastic Load Balancing fournit les politiques de sécurité TLS 1.0 à 1.2 suivantes pour les équilibreurs de charge d'application :
-
ELBSecurityPolicy-TLS-1-2-Ext-2018-06 -
ELBSecurityPolicy-TLS-1-2-2017-01 -
ELBSecurityPolicy-TLS-1-1-2017-01 -
ELBSecurityPolicy-2016-08 -
ELBSecurityPolicy-TLS-1-0-2015-04 -
ELBSecurityPolicy-2015-05(identique àELBSecurityPolicy-2016-08)
Protocoles et chiffrements TLS
Ajout d'un écouteur HTTPS
Vous configurez un écouteur avec un protocole et un port pour les connexions des clients vers l'équilibreur de charge, et un groupe cible pour la règle d'écouteur par défaut. Pour plus d’informations, consultez Configuration des écouteurs.
Prérequis
-
Pour créer un écouteur HTTPS, vous devez spécifier un certificat et une stratégie de sécurité. L'équilibreur de charge utilise le certificat pour mettre fin à la connexion et déchiffrer les demandes des clients avant de les acheminer vers les cibles. L'équilibreur de charge utilise la stratégie de sécurité lors de la négociation des connexions SSL avec les clients.
-
Pour ajouter une action de transmission à la règle d'écouteur par défaut, vous devez spécifier un groupe cible disponible. Pour plus d’informations, consultez Créer un groupe cible.
-
Vous pouvez spécifier le même groupe cible dans plusieurs écouteurs, mais ces écouteurs doivent appartenir au même équilibreur de charge. Pour utiliser un groupe cible avec un équilibreur de charge, vous devez vérifier qu'il n'est pas utilisé par un écouteur pour un autre équilibreur de charge.
Ajouter un écouteur HTTPS à l'aide de la console
Ouvrez la console Amazon EC2 à l’adresse https://console.aws.amazon.com/ec2/
. -
Dans le volet de navigation, choisissez Load Balancers (Équilibreurs de charge).
-
Sélectionnez l'équilibreur de charge.
-
Dans l'onglet Écouteurs et règles, choisissez Ajouter un écouteur.
-
For Protocole : Port, choisissez HTTPS et conservez le port par défaut ou entrez un port différent.
-
(Facultatif) Pour activer l'authentification, sous Authentification, sélectionnez Utiliser OpenID ou Amazon Cognito et fournissez les informations demandées. Pour plus d’informations, consultez Authentification des utilisateurs à l'aide d'un Application Load Balancer.
-
Pour Default actions (Actions par défaut), effectuez l'une des opérations suivantes :
-
Transférer aux groupes cibles : choisissez un ou plusieurs groupes cibles vers lesquels transférer le trafic. Pour ajouter des groupes cibles, choisissez Ajouter un groupe cible. Si vous utilisez plusieurs groupes cibles, sélectionnez un poids pour chaque groupe cible et passez en revue le pourcentage associé. Vous devez activer le caractère collant au niveau du groupe sur une règle, si vous l'avez activé sur un ou plusieurs groupes cibles.
-
Redirection vers l'URL – Spécifiez l'URL vers laquelle les demandes du client seront redirigées. Cela peut être fait en saisissant chaque partie séparément dans l'onglet Parties de l'URI, ou en saisissant l'adresse complète dans l'onglet URL complète. Pour Code d'état, vous pouvez configurer des redirections temporaires (HTTP 302) ou permanentes (HTTP 301) en fonction de vos besoins.
-
Renvoyer une réponse fixe – Spécifiez le Code de réponse qui sera renvoyé aux demandes client abandonnées. En outre, vous pouvez spécifier le Type de contenu et le Corps de la réponse, mais ils ne sont pas obligatoires.
-
-
Pour Stratégie de sécurité, nous vous recommandons de toujours utiliser la dernière stratégie de sécurité prédéfinie.
-
Pour Default SSL/TLS certificate, les options suivantes sont disponibles :
-
Si vous avez créé ou importé un certificat à l'aide de AWS Certificate Manager, sélectionnez From ACM, puis sélectionnez le certificat dans Select a certificate.
-
Si vous avez importé un certificat à l'aide d'IAM, sélectionnez From IAM et puis sélectionnez votre certificat dans Select a certificate.
-
Si vous avez un certificat à importer mais qu'ACM n'est pas disponible dans votre région, sélectionnez Import, puis sélectionnez To IAM. Tapez le nom du certificat dans le champ Certificate name. Dans Certificate private key, copiez et collez le contenu du fichier de clé privée (codé PEM). Dans Certificate body, copiez et collez le contenu du fichier de certificat de clé publique (codé PEM). Dans Certificate Chain (Chaîne de certificats), copiez et collez le contenu du fichier de chaîne de certificats (codé PEM), sauf si vous utilisez un certificat auto-signé et qu'il n'est pas important que les navigateurs acceptent implicitement le certificat.
-
-
(Facultatif) Pour activer l'authentification mutuelle, sous Gestion des certificats clients, activez l'authentification mutuelle (MTL).
Lorsqu'il est activé, le mode TLS mutuel par défaut est le mode passthrough.
Si vous sélectionnez Vérifier avec Trust Store :
-
Par défaut, les connexions dont les certificats clients ont expiré sont rejetées. Pour modifier ce comportement, développez les paramètres mTLS avancés, puis sous Expiration des certificats clients, sélectionnez Autoriser les certificats clients expirés.
-
Sous Trust Store, choisissez un trust store existant ou choisissez New trust store.
-
Si vous avez choisi Nouveau magasin de confiance, fournissez un nom de magasin de confiance, l'emplacement de l'autorité de certification URI S3 et éventuellement un emplacement de la liste de révocation des certificats d'URI S3.
-
-
-
Choisissez Enregistrer.
Pour ajouter un écouteur HTTPS à l'aide du AWS CLI
Utilisez la commande create-listener pour créer l'écouteur et la règle par défaut, et la commande create-rule pour définir des règles d'écouteur supplémentaires.
