Configurer un auditeur HTTPS pour votre Equilibreur de charge classique - Elastic Load Balancing

Si nous fournissons une traduction de la version anglaise du guide, la version anglaise du guide aura préséance en cas de contradiction. La traduction sera une traduction automatique.

Configurer un auditeur HTTPS pour votre Equilibreur de charge classique

A auditeur est un processus qui vérifie les demandes de connexion. Il est configuré avec un protocole et un port pour les connexions frontales (du client vers l'équilibreur de charge), et un protocole et un port pour les connexions principales (de l'équilibreur de charge vers l'instance). Pour plus d'informations sur les ports, protocoles et configurations d'écouteur pris en charge par Elastic Load Balancing, consultez Écouteurs pour votre Equilibreur de charge classique.

Si vous disposez d'un équilibreur de charge avec un écouteur qui accepte les demandes HTTP sur le port 80, vous pouvez ajouter un écouteur qui accepte les demandes HTTPS sur le port 443. Si vous spécifiez que l'écouteur HTTPS envoie des demandes aux instances sur le port 80, l'équilibreur de charge met fin aux demandes SSL et à la communication depuis l'équilibreur de charge vers les instances non chiffrées. Si l'écouteur HTTPS envoie des demandes aux instances sur le port 443, la communication depuis l'équilibreur de charge vers les instances est chiffrée.

Si votre équilibreur de charge utilise une connexion chiffrée pour communiquer avec des instances, vous pouvez éventuellement activer l'authentification des instances. Cela garantit que l'équilibreur de charge communique avec une instance uniquement si la clé publique correspond à la clé que vous avez spécifiée à équilibreur de charge à cet effet.

Pour plus d'informations sur la création d'un nouvel écouteur HTTPS, consultez Créer un Equilibreur de charge classique avec un auditeur HTTPS.

Prerequisites

Pour activer la prise en charge de HTTPS pour un écouteur HTTPS, vous devez déployer un certificat de serveur SSL sur votre équilibreur de charge. L'équilibreur de charge utilise le certificat pour mettre fin à la connexion, puis déchiffrer les demandes avant de les envoyer aux instances. Si vous n'avez pas de certificat SSL, vous pouvez créer en. Pour plus d'informations, consultez Certificats SSL/TLS pour Equilibreurs de charge classiques.

Ajouter un auditeur HTTPS à l’aide de la console

Vous pouvez ajouter un écouteur HTTPS à un équilibreur de charge existant.

Pour ajouter un écouteur HTTPS à votre équilibreur de charge

  1. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.

  2. Dans le panneau de navigation, sous LOAD BALANCING, choisissez Load Balancers.

  3. Sélectionnez votre équilibreur de charge.

  4. Sur le Auditeurs onglet, choisissez Modifier.

  5. Sur le Modifier les auditeurs page, choisir Ajouter.

  6. Pour Protocole de répartiteur de charge, sélectionnez HTTPS (HTTP sécurisée). Ces mises à jour Port de répartiteur de charge, Protocole d’instance, et Port d’instance.

    Important

    Par défaut, le protocole d'instance est HTTP. Si vous souhaitez configurer l'authentification d'instance principale, modifiez le protocole d'instance en HTTPS (Secure HTTP). Cela met également à jour le port d'instance.

  7. Pour Cipher, choisissez Modifier. Vérifiez que Politique de sécurité prédéfinie est sélectionné et réglé sur ELBSecurityPolicy-2016-08. Nous vous recommandons de toujours utiliser la stratégie de sécurité prédéfinie la plus récente. Si vous devez utiliser une politique de sécurité prédéfinie différente ou créer une stratégie personnalisée, consultez Mettre à jour la configuration de négociation SSL.

  8. Si vous avez déjà un certificat déployé sur votre équilibreur de charge et que vous souhaitez continuer à l'utiliser ce dernier, vous pouvez ignorer cette étape.

    Pour Certificat SSL, choisissez Modifier, puis effectuez l’une des opérations suivantes :

    • Si vous créez ou importez un certificat à l’aide de AWS Certificate Manager, sélectionnez Choisir un certificat existant auprès du gestionnaire de certificats AWS (ACM), sélectionnez le certificat de Certificat, puis choisissez Enregistrer.

      Note

      Cette option est disponible uniquement dans les régions qui soutiennent AWS Certificate Manager.

    • Si vous avez importé un certificat à l’aide d’IAM, sélectionnez Choisir un certificat existant AWS Identity and Access Management (IAM), sélectionnez le certificat de Certificat, puis choisissez Enregistrer.

    • Si vous avez un certificat SSL à importer, ACM n’est pas pris en charge dans cette région, sélectionnez Télécharger un nouveau certificat SSL à AWS Identity and Access Management (IAM). Tapez le nom du certificat. Dans Clé privée, copiez et collez le contenu du fichier de clé privée (encodé PEM). Dans Certificat clé publique, copiez et collez le contenu du fichier de certificat de clé publique (encodé PEM). Dans Chaîne de certificats, copiez et collez le contenu du fichier de chaîne de certificats (encodé PEM), sauf si vous utilisez un certificat auto-signé et qu’il n’est pas important que les navigateurs acceptent implicitement le certificat.

  9. (Facultatif) Choisissez Ajouter pour ajouter des auditeurs supplémentaires.

  10. Choisir Enregistrer pour ajouter les auditeurs que vous venez de configurer.

  11. (Facultatif) Pour configurer l'authentification d'instance principale pour un équilibreur de charge existant, vous devez utiliser l'interface AWS CLI ou une API, car cette tâche n'est pas prise en charge à l'aide de la console. Pour plus d’informations, voir Configurer l’authentification des instances back-end.

Ajouter un auditeur HTTPS à l’aide du AWS CLI

Vous pouvez ajouter un écouteur HTTPS à un équilibreur de charge existant.

Pour ajouter un écouteur HTTPS à votre équilibreur de charge à l'aide de l'interface AWS CLI

  1. Obtenez l'Amazon Resource Name (ARN) du certificat SSL. Par exemple,

    ACM

    arn:aws:acm:region:123456789012:certificate/12345678-1234-1234-1234-123456789012

    IAM

    arn:aws:iam::123456789012:server-certificate/my-server-certificate
  2. Utiliser les éléments suivants créer-charges-équilibreurs-équilibreurs commande pour ajouter un auditeur à votre répartiteur de charge qui accepte les requêtes HTTPS sur le port 443 et envoie les demandes aux instances du port 80 à l’aide de HTTP :

    aws elb create-load-balancer-listeners --load-balancer-name my-load-balancer --listeners Protocol=HTTPS,LoadBalancerPort=443,InstanceProtocol=HTTP,InstancePort=80,SSLCertificateId=ARN

    Si vous souhaitez configurer l'authentification d'instance principale, utilisez la commande suivante pour ajouter un écouteur qui accepte les demandes HTTPS sur le port 443 et envoie les demandes aux instances sur le port 443 à l'aide de HTTPS :

    aws elb create-load-balancer-listeners --load-balancer-name my-load-balancer --listeners Protocol=HTTPS,LoadBalancerPort=443,InstanceProtocol=HTTPS,InstancePort=443,SSLCertificateId=ARN
  3. (Facultatif) Vous pouvez utiliser ce qui suit décrire-charges-équilibreuses commande pour afficher les détails mis à jour de votre répartiteur de charge :

    aws elb describe-load-balancers --load-balancer-name my-load-balancer

    Voici un exemple de réponse  :

    { "LoadBalancerDescriptions": [ { ... "ListenerDescriptions": [ { "Listener": { "InstancePort": 80, "SSLCertificateId": "ARN", "LoadBalancerPort": 443, "Protocol": "HTTPS", "InstanceProtocol": "HTTP" }, "PolicyNames": [ "ELBSecurityPolicy-2016-08" ] }, { "Listener": { "InstancePort": 80, "LoadBalancerPort": 80, "Protocol": "HTTP", "InstanceProtocol": "HTTP" }, "PolicyNames": [] } ], ... } ] }
  4. (Facultatif) Votre écouteur HTTPS a été créé à l'aide de la stratégie de sécurité par défaut. Si vous souhaitez spécifier une politique de sécurité prédéfinie différente ou une politique de sécurité personnalisée, utilisez politique-de-création-d-équilibrage-de-charge et règles-de-l-auditeur-de-charge-de-jeu-de-configuration commandes. Pour plus d'informations, consultez Mettre à jour la configuration de négociation SSL en utilisant AWS CLI.

  5. (Facultatif) Pour configurer l’authentification de l’instance back-end, utilisez le règles-d’équilibrage-de-charge-de-jeu-pour-serveur-backend commande. Pour plus d’informations, voir Configurer l’authentification des instances back-end.