Configurer un Écouteur HTTPS pour votre Classic Load Balancer - Elastic Load Balancing
PrérequisAjouter un Écouteur HTTPS à l'aide de la consoleAjoutez un écouteur HTTPS à l'aide du AWS CLI

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configurer un Écouteur HTTPS pour votre Classic Load Balancer

Un écouteur est un processus qui vérifie les demandes de connexion. Il est configuré avec un protocole et un port pour les connexions frontales (du client vers l'équilibreur de charge), et un protocole et un port pour les connexions principales (de l'équilibreur de charge vers l'instance). Pour plus d'informations sur les ports, protocoles et configurations d'Écouteur pris en charge par Elastic Load Balancing, consultez Écouteurs de votre Classic Load Balancer.

Si vous disposez d'un équilibreur de charge avec un écouteur qui accepte les demandes HTTP sur le port 80, vous pouvez ajouter un écouteur qui accepte les demandes HTTPS sur le port 443. Si vous spécifiez que l'écouteur HTTPS envoie des demandes aux instances sur le port 80, l'équilibreur de charge met fin aux demandes SSL et à la communication depuis l'équilibreur de charge vers les instances non chiffrées. Si l'écouteur HTTPS envoie des demandes aux instances sur le port 443, la communication depuis l'équilibreur de charge vers les instances est chiffrée.

Si votre équilibreur de charge utilise une connexion chiffrée pour communiquer avec des instances, vous pouvez éventuellement activer l'authentification des instances. Cela garantit que l'équilibreur de charge communique avec une instance uniquement si la clé publique correspond à la clé que vous avez spécifiée à équilibreur de charge à cet effet.

Pour plus d'informations sur la création d'un nouvel écouteur HTTPS, consultez Création d'un Classic Load Balancer avec un Écouteur HTTPS.

Prérequis

Pour activer la prise en charge de HTTPS pour un écouteur HTTPS, vous devez déployer un certificat de serveur SSL sur votre équilibreur de charge. L'équilibreur de charge utilise le certificat pour mettre fin à la connexion, puis déchiffrer les demandes avant de les envoyer aux instances. Si vous n'avez pas de certificat SSL, vous pouvez créer en. Pour de plus amples informations, veuillez consulter Certificats SSL/TLS pour les Classic Load Balancers.

Ajouter un Écouteur HTTPS à l'aide de la console

Vous pouvez ajouter un écouteur HTTPS à un équilibreur de charge existant.

Pour ajouter un écouteur HTTPS à votre équilibreur de charge à l'aide de la console

  1. Ouvrez la EC2 console Amazon à l'adresse https://console.aws.amazon.com/ec2/.

  2. Dans le panneau de navigation, sous Load Balancing (Équilibrage de charge), choisissez Load Balancers (Équilibreurs de charge).

  3. Choisissez le nom de l'équilibreur de charge afin d'ouvrir sa page détaillée.

  4. Sous l'onglet Listeners, choisissez Manage listeners.

  5. Sur la page Manage listeners, dans la section Listeners, choisissez Add listener.

  6. Pour Listener protocol, sélectionner HTTPS.

    Important

    Par défaut, le protocole d'instance est HTTP. Si vous souhaitez configurer l'authentification d'instance principale, modifiez le protocole d'instance en HTTPS.

  7. Pour la politique de sécurité, nous vous recommandons d'utiliser la dernière politique de sécurité prédéfinie. Si vous devez utiliser une autre stratégie de sécurité prédéfinie ou créer une stratégie personnalisée, consultez Mettre à jour la configuration de négociation SSL.

  8. Pour Default SSL cert, choisissez Edit, puis exécutez l'une des actions suivantes :

    • Si vous avez créé ou importé un certificat à l'aide de AWS Certificate Manager, choisissez From ACM, sélectionnez le certificat dans la liste, puis sélectionnez Enregistrer les modifications.

      Note

      Cette option est disponible uniquement dans les Régions qui prennent en charge AWS Certificate Manager.

    • Si vous avez importé un certificat à l'aide d'IAM, choisissez From IAM, sélectionnez le certificat dans la liste, puis choisissez Save changes.

    • Si vous avez un certificat SSL à importer dans ACM, sélectionnez Import et To ACM. Dans Certificate private key, copiez et collez le contenu du fichier de clé privée codé PEM. Dans Certificate body, copiez et collez le contenu du fichier de certificat de clé publique codé PEM. Dans Certificate chain - optional, copiez et collez le contenu du fichier de chaîne de certificat codé PEM, sauf si vous utilisez un certificat auto-signé et qu'il n'est pas important que les navigateurs acceptent implicitement le certificat.

    • Si vous avez un certificat SSL à importer, mais qu'ACM n'est pas pris en charge dans cette région, sélectionnez Import et To IAM. Dans Certificate name, tapez le nom du certificat. Dans Certificate private key, copiez et collez le contenu du fichier de clé privée codé PEM. Dans Certificate body, copiez et collez le contenu du fichier de certificat de clé publique codé PEM. Dans Certificate chain - optional, copiez et collez le contenu du fichier de chaîne de certificat codé PEM, sauf si vous utilisez un certificat auto-signé et qu'il n'est pas important que les navigateurs acceptent implicitement le certificat.

    • Sélectionnez Enregistrer les modifications.

  9. Pour Cookie stickiness, la valeur par défaut est Disabled. Pour modifier cela, choisissez Edit. Si vous choisissez Generated by load balancer, une Période d'expiration doit être spécifié. Si vous choisissez Generated by application, un Nom du cookie doit être spécifié. Après avoir fait votre sélection, choisissez Save changes.

  10. (Facultatif) Choisissez Add listener pour ajouter des écouteurs supplémentaires.

  11. Choisissez Save changes pour ajouter les écouteurs que vous venez de configurer.

  12. (Facultatif) Pour configurer l'authentification des instances principales pour un équilibreur de charge existant, vous devez utiliser l'API AWS CLI ou une API, car cette tâche n'est pas prise en charge par la console. Pour plus d'informations, consultez Configurer l'authentification d'instance principale.

Ajoutez un écouteur HTTPS à l'aide du AWS CLI

Vous pouvez ajouter un écouteur HTTPS à un équilibreur de charge existant.

Pour ajouter un écouteur HTTPS à votre équilibreur de charge à l'aide du AWS CLI

  1. Obtenez l'Amazon Resource Name (ARN) du certificat SSL. Par exemple :

    ACM

    arn:aws:acm:region:123456789012:certificate/12345678-1234-1234-1234-123456789012

    IAM

    arn:aws:iam::123456789012:server-certificate/my-server-certificate

  2. Utilisez la create-load-balancer-listenerscommande suivante pour ajouter un écouteur à votre équilibreur de charge qui accepte les requêtes HTTPS sur le port 443 et envoie les demandes aux instances sur le port 80 via HTTP :

    aws elb create-load-balancer-listeners --load-balancer-name my-load-balancer --listeners Protocol=HTTPS,LoadBalancerPort=443,InstanceProtocol=HTTP,InstancePort=80,SSLCertificateId=ARN

    Si vous souhaitez configurer l'authentification d'instance principale, utilisez la commande suivante pour ajouter un écouteur qui accepte les demandes HTTPS sur le port 443 et envoie les demandes aux instances sur le port 443 à l'aide de HTTPS :

    aws elb create-load-balancer-listeners --load-balancer-name my-load-balancer --listeners Protocol=HTTPS,LoadBalancerPort=443,InstanceProtocol=HTTPS,InstancePort=443,SSLCertificateId=ARN

  3. (Facultatif) Vous pouvez utiliser la describe-load-balancerscommande suivante pour afficher les détails mis à jour de votre équilibreur de charge :

    aws elb describe-load-balancers --load-balancer-name my-load-balancer

    Voici un exemple de réponse :

    {
    "LoadBalancerDescriptions": [
        {
            ...
            "ListenerDescriptions": [
                {
                    "Listener": {
                        "InstancePort": 80, 
                        "SSLCertificateId": "ARN", 
                        "LoadBalancerPort": 443, 
                        "Protocol": "HTTPS", 
                        "InstanceProtocol": "HTTP"
                    }, 
                    "PolicyNames": [
                        "ELBSecurityPolicy-2016-08"
                    ]
                }, 
                {
                    "Listener": {
                        "InstancePort": 80, 
                        "LoadBalancerPort": 80, 
                        "Protocol": "HTTP", 
                        "InstanceProtocol": "HTTP"
                    }, 
                    "PolicyNames": []
                }
            ], 
            ...
        }
    ]
}

  4. (Facultatif) Votre écouteur HTTPS a été créé à l'aide de la stratégie de sécurité par défaut. Si vous souhaitez définir une autre politique de sécurité prédéfinie ou une politique de sécurité personnalisée, utilisez les commandes create-load-balancer-policyet set-load-balancer-policies-of-listener. Pour de plus amples informations, veuillez consulter Mettez à jour la configuration de négociation SSL à l'aide du AWS CLI.

  5. (Facultatif) Pour configurer l'authentification des instances principales, utilisez la for-backend-server commande set-load-balancer-policies-. Pour plus d'informations, consultez Configurer l'authentification d'instance principale.