Elastic Load Balancing
Equilibreurs de charge classiques

Configurer un écouteur HTTPS pour votre Classic Load Balancer

Un écouteur est un processus qui vérifie les demandes de connexion. Il est configuré avec un protocole et un port pour les connexions frontales (du client vers l'équilibreur de charge), et un protocole et un port pour les connexions principales (de l'équilibreur de charge vers l'instance). Pour plus d'informations sur les ports, protocoles et configurations d'écouteur pris en charge par Elastic Load Balancing, consultez Ecouteurs de votre Classic Load Balancer.

Si vous disposez d'un équilibreur de charge avec un écouteur qui accepte les demandes HTTP sur le port 80, vous pouvez ajouter un écouteur qui accepte les demandes HTTPS sur le port 443. Si vous spécifiez que l'écouteur HTTPS envoie des demandes aux instances sur le port 80, l'équilibreur de charge met fin aux demandes SSL et à la communication depuis l'équilibreur de charge vers les instances non chiffrées. Si l'écouteur HTTPS envoie des demandes aux instances sur le port 443, la communication depuis l'équilibreur de charge vers les instances est chiffrée.

Si votre équilibreur de charge utilise une connexion chiffrée pour communiquer avec des instances, vous pouvez éventuellement activer l'authentification des instances. Cela garantit que l'équilibreur de charge communique avec une instance uniquement si la clé publique correspond à la clé que vous avez spécifiée à équilibreur de charge à cet effet.

Pour plus d'informations sur la création d'un nouvel écouteur HTTPS, consultez Création d'un Classic Load Balancer avec un écouteur HTTPS.

Prérequis

Pour activer la prise en charge de HTTPS pour un écouteur HTTPS, vous devez déployer un certificat de serveur SSL sur votre équilibreur de charge. L'équilibreur de charge utilise le certificat pour mettre fin à la connexion, puis déchiffrer les demandes avant de les envoyer aux instances. Si vous n'avez pas de certificat SSL, vous pouvez créer en. Pour plus d'informations, consultez Certificats SSL/TLS pour les Classic Load Balancer.

Ajouter un écouteur HTTPS à l'aide de la console

Vous pouvez ajouter un écouteur HTTPS à un équilibreur de charge existant.

Pour ajouter un écouteur HTTPS à votre équilibreur de charge

  1. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.

  2. Dans le volet de navigation, sous LOAD BALANCING, choisissez Load Balancers.

  3. Sélectionnez votre équilibreur de charge.

  4. Sous l'onglet Listeners, choisissez Edit.

  5. Sur la page Edit listeners, choisissez Add.

  6. Pour Load Balancer Protocol, sélectionnez HTTPS (Secure HTTP). Cela met à jour Load Balancer Port, Instance protocole, et Instance Port.

    Important

    Par défaut, le protocole d'instance est HTTP. Si vous souhaitez configurer l'authentification d'instance principale, modifiez le protocole d'instance en HTTPS (Secure HTTP). Cela met également à jour le port d'instance.

  7. Pour Cipher, choisissez Change. Vérifiez que Stratégie de sécurité prédéfinie est sélectionné et défini sur ELBSecurityPolicy-2016-08. Nous vous recommandons de toujours utiliser la stratégie de sécurité prédéfinie la plus récente. Si vous devez utiliser une autre stratégie de sécurité prédéfinie ou créer une stratégie personnalisée, consultez Mettre à jour la configuration de négociation SSL.

  8. Si vous avez déjà un certificat déployé sur votre équilibreur de charge et que vous souhaitez continuer à l'utiliser ce dernier, vous pouvez ignorer cette étape.

    Pour SSL Certificate, choisissez Change, puis exécutez l'une des actions suivantes :

    • Si vous avez créé ou importé un certificat à l'aide d'AWS Certificate Manager, sélectionnez Choose an existing certificate from AWS Certificate Manager (ACM) (Choisir un certificat existant à partir d'AWS Certificate Manager (ACM)), sélectionnez le certificat dans Certificate (Certificat), puis choisissez Save (Enregistrer).

      Note

      Cette option est disponible uniquement dans les régions qui prennent en charge AWS Certificate Manager.

    • Si vous avez importé un certificat à l'aide d'IAM, sélectionnez Choose an existing certificate from AWS Identity and Access Management (IAM), choisissez votre certificat dans Certificat, puis sélectionnez Enregistrer.

    • Si vous avez un certificat SSL à importer, mais qu'ACM n'est pas pris en charge dans cette région, sélectionnez Upload a new SSL Certificate to AWS Identity and Access Management (IAM) (Charger un nouveau certificat SSL dans AWS Identity and Access Management (IAM)). Tapez le nom du certificat. Dans Private Key, copiez et collez le contenu du fichier de clé privée (codé PEM). Dans Public Key Certificate, copiez et collez le contenu du fichier de certificat de clé publique (codé PEM). Dans Certificate Chain, copiez et collez le contenu du fichier de chaîne de certificats (codé PEM), sauf si vous utilisez un certificat auto-signé et qu'il n'est pas important que les navigateurs acceptent implicitement le certificat.

  9. (Facultatif) Choisissez Add pour ajouter des écouteurs supplémentaires.

  10. Choisissez Save pour ajouter les écouteurs que vous venez de configurer.

  11. (Facultatif) Pour configurer l'authentification d'instance principale pour un équilibreur de charge existant, vous devez utiliser l'interface AWS CLI ou une API, car cette tâche n'est pas prise en charge à l'aide de la console. Pour plus d'informations, consultez Configurer l'authentification d'instance principale.

Ajouter un écouteur HTTPS à l'aide de l'interface AWS CLI

Vous pouvez ajouter un écouteur HTTPS à un équilibreur de charge existant.

Pour ajouter un écouteur HTTPS à votre équilibreur de charge à l'aide de l'interface AWS CLI

  1. Obtenez l'Amazon Resource Name (ARN) du certificat SSL. Exemples :

    ACM

    arn:aws:acm:region:123456789012:certificate/12345678-1234-1234-1234-123456789012

    IAM

    arn:aws:iam::123456789012:server-certificate/my-server-certificate
  2. Utilisez la commande create-load-balancer-listeners suivante pour ajouter un écouteur à votre équilibreur de charge qui accepte les requêtes HTTPS sur le port 443 et envoie les requêtes aux instances sur le port 80 à l'aide de HTTP :

    aws elb create-load-balancer-listeners --load-balancer-name my-load-balancer --listeners Protocol=HTTPS,LoadBalancerPort=443,InstanceProtocol=HTTP,InstancePort=80,SSLCertificateId=ARN

    Si vous souhaitez configurer l'authentification d'instance principale, utilisez la commande suivante pour ajouter un écouteur qui accepte les demandes HTTPS sur le port 443 et envoie les demandes aux instances sur le port 443 à l'aide de HTTPS :

    aws elb create-load-balancer-listeners --load-balancer-name my-load-balancer --listeners Protocol=HTTPS,LoadBalancerPort=443,InstanceProtocol=HTTPS,InstancePort=443,SSLCertificateId=ARN
  3. (Facultatif) Vous pouvez utiliser la commande describe-load-balancers suivante pour afficher les détails mis à jour de votre équilibreur de charge :

    aws elb describe-load-balancers --load-balancer-name my-load-balancer

    Voici un exemple de réponse :

    { "LoadBalancerDescriptions": [ { ... "ListenerDescriptions": [ { "Listener": { "InstancePort": 80, "SSLCertificateId": "ARN", "LoadBalancerPort": 443, "Protocol": "HTTPS", "InstanceProtocol": "HTTP" }, "PolicyNames": [ "ELBSecurityPolicy-2016-08" ] }, { "Listener": { "InstancePort": 80, "LoadBalancerPort": 80, "Protocol": "HTTP", "InstanceProtocol": "HTTP" }, "PolicyNames": [] } ], ... } ] }
  4. (Facultatif) Votre écouteur HTTPS a été créé à l'aide de la stratégie de sécurité par défaut. Si vous souhaitez spécifier une autre stratégie de sécurité prédéfinie ou une stratégie de sécurité personnalisée, utilisez les commandes create-load-balancer-policy et set-load-balancer-policies-of-listener. Pour plus d'informations, consultez Mettre à jour la configuration de négociation SSL à l'aide de l'interface AWS CLI.

  5. (Facultatif) Pour configurer l'authentification d'instance principale, utilisez la commande set-load-balancer-policies-for-backend-server. Pour plus d'informations, consultez Configurer l'authentification d'instance principale.