Configurer un HTTPS écouteur pour votre Classic Load Balancer - Elastic Load Balancing
PrérequisAjouter un HTTPS écouteur à l'aide de la consoleAjoutez un HTTPS écouteur à l'aide du AWS CLI

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configurer un HTTPS écouteur pour votre Classic Load Balancer

Un écouteur est un processus qui vérifie les demandes de connexion. Il est configuré avec un protocole et un port pour les connexions frontales (du client vers l'équilibreur de charge), et un protocole et un port pour les connexions principales (de l'équilibreur de charge vers l'instance). Pour plus d'informations sur les ports, protocoles et configurations d'Écouteur pris en charge par Elastic Load Balancing, consultez Écouteurs de votre Classic Load Balancer.

Si vous disposez d'un équilibreur de charge avec un écouteur qui accepte les HTTP demandes sur le port 80, vous pouvez ajouter un écouteur qui accepte les HTTPS demandes sur le port 443. Si vous spécifiez que l'HTTPSécouteur envoie des demandes aux instances sur le port 80, l'équilibreur de charge met fin aux SSL demandes et les communications entre l'équilibreur de charge et les instances ne sont pas cryptées. Si l'HTTPSécouteur envoie des demandes aux instances sur le port 443, les communications entre l'équilibreur de charge et les instances sont cryptées.

Si votre équilibreur de charge utilise une connexion chiffrée pour communiquer avec des instances, vous pouvez éventuellement activer l'authentification des instances. Cela garantit que l'équilibreur de charge communique avec une instance uniquement si la clé publique correspond à la clé que vous avez spécifiée à équilibreur de charge à cet effet.

Pour plus d'informations sur la création d'un nouvel HTTPS écouteur, consultezCréation d'un Classic Load Balancer avec un écouteur HTTPS.

Prérequis

Pour activer la HTTPS prise en charge d'un HTTPS écouteur, vous devez déployer un certificat de SSL serveur sur votre équilibreur de charge. L'équilibreur de charge utilise le certificat pour mettre fin à la connexion, puis déchiffrer les demandes avant de les envoyer aux instances. Si vous n'avez pas de SSL certificat, vous pouvez en créer un. Pour de plus amples informations, veuillez consulter SSL/TLScertificats pour les équilibreurs de charge classiques.

Ajouter un HTTPS écouteur à l'aide de la console

Vous pouvez ajouter un HTTPS écouteur à un équilibreur de charge existant.

Pour ajouter un HTTPS écouteur à votre équilibreur de charge à l'aide de la console

  1. Ouvrez la EC2 console Amazon à l'adresse https://console.aws.amazon.com/ec2/.

  2. Dans le panneau de navigation, sous Load Balancing (Équilibrage de charge), choisissez Load Balancers (Équilibreurs de charge).

  3. Choisissez le nom de l'équilibreur de charge afin d'ouvrir sa page détaillée.

  4. Sous l'onglet Listeners, choisissez Manage listeners.

  5. Sur la page Manage listeners, dans la section Listeners, choisissez Add listener.

  6. Pour le protocole Listener, sélectionnez HTTPS.

    Important

    Par défaut, le protocole d'instance estHTTP. Si vous souhaitez configurer l'authentification des instances principales, remplacez le protocole d'instance par. HTTPS

  7. Pour la politique de sécurité, nous vous recommandons d'utiliser la dernière politique de sécurité prédéfinie. Si vous devez utiliser une autre politique de sécurité prédéfinie ou créer une politique personnalisée, voir Mettre à jour la configuration de SSL négociation.

  8. Pour le SSLcertificat par défaut, choisissez Modifier, puis effectuez l'une des opérations suivantes :

    • Si vous avez créé ou importé un certificat à l'aide de AWS Certificate Manager, choisissez À partir deACM, sélectionnez le certificat dans la liste, puis sélectionnez Enregistrer les modifications.

      Note

      Cette option est disponible uniquement dans les Régions qui prennent en charge AWS Certificate Manager.

    • Si vous avez importé un certificat à l'aide de IAMIAM, choisissez À partir, sélectionnez le certificat dans la liste, puis sélectionnez Enregistrer les modifications.

    • Si vous avez un SSL certificat vers lequel importerACM, sélectionnez Importer et Vers ACM. Dans Certificate private key, copiez et collez le contenu du fichier de clé privée PEM codé. Dans le corps du certificat, copiez et collez le contenu du fichier de certificat de clé publique PEM codé. Dans Chaîne de certificats (facultatif), copiez et collez le contenu du fichier de chaîne de certificats PEM codé, sauf si vous utilisez un certificat auto-signé et qu'il n'est pas important que les navigateurs acceptent implicitement le certificat.

    • Si vous avez un SSL certificat à importer mais qu'il n'ACMest pas pris en charge dans cette région, sélectionnez Importer et vers IAM. Dans Certificate name, tapez le nom du certificat. Dans Certificate private key, copiez et collez le contenu du fichier de clé privée PEM codé. Dans le corps du certificat, copiez et collez le contenu du fichier de certificat de clé publique PEM codé. Dans Chaîne de certificats (facultatif), copiez et collez le contenu du fichier de chaîne de certificats PEM codé, sauf si vous utilisez un certificat auto-signé et qu'il n'est pas important que les navigateurs acceptent implicitement le certificat.

    • Sélectionnez Enregistrer les modifications.

  9. Pour Cookie stickiness, la valeur par défaut est Disabled. Pour modifier cela, choisissez Edit. Si vous choisissez Generated by load balancer, une Période d'expiration doit être spécifié. Si vous choisissez Generated by application, un Nom du cookie doit être spécifié. Après avoir fait votre sélection, choisissez Save changes.

  10. (Facultatif) Choisissez Add listener pour ajouter des écouteurs supplémentaires.

  11. Choisissez Save changes pour ajouter les écouteurs que vous venez de configurer.

  12. (Facultatif) Pour configurer l'authentification des instances principales pour un équilibreur de charge existant, vous devez utiliser le AWS CLI ou unAPI, car cette tâche n'est pas prise en charge par la console. Pour plus d'informations, consultez Configurer l'authentification d'instance principale.

Ajoutez un HTTPS écouteur à l'aide du AWS CLI

Vous pouvez ajouter un HTTPS écouteur à un équilibreur de charge existant.

Pour ajouter un HTTPS écouteur à votre équilibreur de charge à l'aide du AWS CLI

  1. Obtenez le nom de ressource Amazon (ARN) du SSL certificat. Par exemple :

    ACM

    arn:aws:acm:region:123456789012:certificate/12345678-1234-1234-1234-123456789012

    IAM

    arn:aws:iam::123456789012:server-certificate/my-server-certificate

  2. Utilisez la create-load-balancer-listenerscommande suivante pour ajouter un écouteur à votre équilibreur de charge qui accepte les HTTPS demandes sur le port 443 et envoie les demandes aux instances sur le port 80 en utilisant : HTTP

    aws elb create-load-balancer-listeners --load-balancer-name my-load-balancer --listeners Protocol=HTTPS,LoadBalancerPort=443,InstanceProtocol=HTTP,InstancePort=80,SSLCertificateId=ARN

    Si vous souhaitez configurer l'authentification des instances principales, utilisez la commande suivante pour ajouter un écouteur qui accepte les HTTPS demandes sur le port 443 et envoie les demandes aux instances sur le port 443 en utilisant : HTTPS

    aws elb create-load-balancer-listeners --load-balancer-name my-load-balancer --listeners Protocol=HTTPS,LoadBalancerPort=443,InstanceProtocol=HTTPS,InstancePort=443,SSLCertificateId=ARN

  3. (Facultatif) Vous pouvez utiliser la describe-load-balancerscommande suivante pour afficher les détails mis à jour de votre équilibreur de charge :

    aws elb describe-load-balancers --load-balancer-name my-load-balancer

    Voici un exemple de réponse :

    {
    "LoadBalancerDescriptions": [
        {
            ...
            "ListenerDescriptions": [
                {
                    "Listener": {
                        "InstancePort": 80, 
                        "SSLCertificateId": "ARN", 
                        "LoadBalancerPort": 443, 
                        "Protocol": "HTTPS", 
                        "InstanceProtocol": "HTTP"
                    }, 
                    "PolicyNames": [
                        "ELBSecurityPolicy-2016-08"
                    ]
                }, 
                {
                    "Listener": {
                        "InstancePort": 80, 
                        "LoadBalancerPort": 80, 
                        "Protocol": "HTTP", 
                        "InstanceProtocol": "HTTP"
                    }, 
                    "PolicyNames": []
                }
            ], 
            ...
        }
    ]
}

  4. (Facultatif) Votre HTTPS écouteur a été créé à l'aide de la politique de sécurité par défaut. Si vous souhaitez définir une autre politique de sécurité prédéfinie ou une politique de sécurité personnalisée, utilisez les commandes create-load-balancer-policyet set-load-balancer-policies-of-listener. Pour de plus amples informations, veuillez consulter Mettez à jour la configuration de SSL négociation à l'aide du AWS CLI.

  5. (Facultatif) Pour configurer l'authentification des instances principales, utilisez la for-backend-server commande set-load-balancer-policies-. Pour plus d'informations, consultez Configurer l'authentification d'instance principale.