Configurer un Écouteur HTTPS pour votre Classic Load Balancer - Elastic Load Balancing

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configurer un Écouteur HTTPS pour votre Classic Load Balancer

Un écouteur est un processus qui vérifie les demandes de connexion. Il est configuré avec un protocole et un port pour les connexions frontales (du client vers l'équilibreur de charge), et un protocole et un port pour les connexions principales (de l'équilibreur de charge vers l'instance). Pour plus d'informations sur les ports, protocoles et configurations d'Écouteur pris en charge par Elastic Load Balancing, consultez Écouteurs de votre Classic Load Balancer.

Si vous disposez d'un équilibreur de charge avec un écouteur qui accepte les demandes HTTP sur le port 80, vous pouvez ajouter un écouteur qui accepte les demandes HTTPS sur le port 443. Si vous spécifiez que l'écouteur HTTPS envoie des demandes aux instances sur le port 80, l'équilibreur de charge met fin aux demandes SSL et à la communication depuis l'équilibreur de charge vers les instances non chiffrées. Si l'écouteur HTTPS envoie des demandes aux instances sur le port 443, la communication depuis l'équilibreur de charge vers les instances est chiffrée.

Si votre équilibreur de charge utilise une connexion chiffrée pour communiquer avec des instances, vous pouvez éventuellement activer l'authentification des instances. Cela garantit que l'équilibreur de charge communique avec une instance uniquement si la clé publique correspond à la clé que vous avez spécifiée à équilibreur de charge à cet effet.

Pour plus d'informations sur la création d'un nouvel écouteur HTTPS, consultez Création d'un Classic Load Balancer avec un Écouteur HTTPS.

Prérequis

Pour activer la prise en charge de HTTPS pour un écouteur HTTPS, vous devez déployer un certificat de serveur SSL sur votre équilibreur de charge. L'équilibreur de charge utilise le certificat pour mettre fin à la connexion, puis déchiffrer les demandes avant de les envoyer aux instances. Si vous n'avez pas de certificat SSL, vous pouvez créer en. Pour de plus amples informations, veuillez consulter Certificats SSL/TLS pour les Classic Load Balancers.

Ajouter un Écouteur HTTPS à l'aide de la console

Vous pouvez ajouter un écouteur HTTPS à un équilibreur de charge existant.

New EC2 experience
Pour ajouter un écouteur HTTPS à votre équilibreur de charge
  1. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.

  2. Dans le panneau de navigation, sous Load Balancing (Équilibrage de charge), choisissez Load Balancers (Équilibreurs de charge).

  3. Choisissez le nom de l'équilibreur de charge afin d'ouvrir sa page détaillée.

  4. Sous l'onglet Listeners, choisissez Manage listeners.

  5. Sur la page Manage listeners, dans la section Listeners, choisissez Add listener.

  6. Pour Listener protocol, sélectionner HTTPS.

    Important

    Par défaut, le protocole d'instance est HTTP. Si vous souhaitez configurer l'authentification d'instance principale, modifiez le protocole d'instance en HTTPS.

  7. Pour Security policy, la valeur par défaut recommandée ELBSecurityPolicy-2016-08 sera sélectionné. Nous vous recommandons de toujours utiliser la stratégie de sécurité prédéfinie la plus récente. Si vous devez utiliser une autre stratégie de sécurité prédéfinie ou créer une stratégie personnalisée, consultez Mettre à jour la configuration de négociation SSL.

  8. Pour Default SSL cert, choisissez Edit, puis exécutez l'une des actions suivantes :

    • Si vous avez créé ou importé un certificat à l'aide d'AWS Certificate Manager, choisissez From ACM, puis sélectionnez Save changes.

      Note

      Cette option est disponible uniquement dans les Régions qui prennent en charge AWS Certificate Manager.

    • Si vous avez importé un certificat à l'aide d'IAM, choisissez From IAM, sélectionnez le certificat dans la liste, puis choisissez Save changes.

    • Si vous avez un certificat SSL à importer dans ACM, sélectionnez Import et To ACM. Dans Certificate private key, copiez et collez le contenu du fichier de clé privée codé PEM. Dans Certificate body, copiez et collez le contenu du fichier de certificat de clé publique codé PEM. Dans Certificate chain - optional, copiez et collez le contenu du fichier de chaîne de certificat codé PEM, sauf si vous utilisez un certificat auto-signé et qu'il n'est pas important que les navigateurs acceptent implicitement le certificat.

    • Si vous avez un certificat SSL à importer, mais qu'ACM n'est pas pris en charge dans cette région, sélectionnez Import et To IAM. Dans Certificate name, tapez le nom du certificat. Dans Certificate private key, copiez et collez le contenu du fichier de clé privée codé PEM. Dans Certificate body, copiez et collez le contenu du fichier de certificat de clé publique codé PEM. Dans Certificate chain - optional, copiez et collez le contenu du fichier de chaîne de certificat codé PEM, sauf si vous utilisez un certificat auto-signé et qu'il n'est pas important que les navigateurs acceptent implicitement le certificat.

    • Choisissez Enregistrer les modifications.

  9. Pour Cookie stickiness, la valeur par défaut est Disabled. Pour modifier cela, choisissez Edit. Si vous choisissez Generated by load balancer, une Période d'expiration doit être spécifié. Si vous choisissez Generated by application, un Nom du cookie doit être spécifié. Après avoir fait votre sélection, choisissez Save changes.

  10. (Facultatif) Choisissez Add listener pour ajouter des écouteurs supplémentaires.

  11. Choisissez Save changes pour ajouter les écouteurs que vous venez de configurer.

  12. (Facultatif) Pour configurer l'authentification d'instance principale pour un équilibreur de charge existant, vous devez utiliser l'interface AWS CLI ou une API, car cette tâche n'est pas prise en charge à l'aide de la console. Pour plus d'informations, consultez Configurer l'authentification d'instance principale.

Old EC2 experience
Pour ajouter un écouteur HTTPS à votre équilibreur de charge
  1. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.

  2. Dans le panneau de navigation, sous Load Balancing (Équilibrage de charge), choisissez Load Balancers (Équilibreurs de charge).

  3. Sélectionnez votre équilibreur de charge.

  4. Sous l'onglet Listeners, choisissez Edit.

  5. Sur la page Edit listeners, choisissez Add.

  6. Pour Load Balancer Protocol, sélectionnez HTTPS (Secure HTTP). Cela met à jour Load Balancer Port, Instance protocole, et Instance Port.

    Important

    Par défaut, le protocole d'instance est HTTP. Si vous souhaitez configurer l'authentification d'instance principale, modifiez le protocole d'instance en HTTPS (Secure HTTP). Cela met également à jour le port d'instance.

  7. Pour Cipher, choisissez Change. Vérifiez que Politique de sécurité prédéfinie est sélectionné et défini sur ELBSecurityPolicy-2016-08. Nous vous recommandons de toujours utiliser la stratégie de sécurité prédéfinie la plus récente. Si vous devez utiliser une autre stratégie de sécurité prédéfinie ou créer une stratégie personnalisée, consultez Mettre à jour la configuration de négociation SSL.

  8. Si vous avez déjà un certificat déployé sur votre équilibreur de charge et que vous souhaitez continuer à l'utiliser ce dernier, vous pouvez ignorer cette étape.

    Pour SSL Certificate, choisissez Change, puis exécutez l'une des actions suivantes :

    • Si vous avez créé ou importé un certificat à l'aide d'AWS Certificate Manager, sélectionnez Choose an existing certificate from AWS Certificate Manager (ACM) (Choisir un certificat existant à partir AWS Certificate Manager (ACM)), sélectionnez le certificat dans Certificate (Certificat), puis choisissez Save (Enregistrer).

      Note

      Cette option est disponible uniquement dans les Régions qui prennent en charge AWS Certificate Manager.

    • Si vous avez importé un certificat à l'aide d'IAM, sélectionnez Choose an existing certificate from AWS Identity and Access Management (IAM), choisissez votre certificat dans Certificat, puis sélectionnez Enregistrer.

    • Si vous avez un certificat SSL à importer, mais qu'ACM n'est pas pris en charge dans cette région, sélectionnez Upload a new SSL Certificate to AWS Identity and Access Management (IAM) (Charger un nouveau certificat SSL dans [IAM]). Tapez le nom du certificat. Dans Private Key, copiez et collez le contenu du fichier de clé privée (codé PEM). Dans Public Key Certificate (Certificat de clé publique), copiez et collez le contenu du fichier de certificat de clé publique (codé PEM). Dans Certificate Chain (Chaîne de certificats), copiez et collez le contenu du fichier de chaîne de certificats (codé PEM), sauf si vous utilisez un certificat auto-signé et qu'il n'est pas important que les navigateurs acceptent implicitement le certificat.

  9. (Facultatif) Choisissez Add pour ajouter des écouteurs supplémentaires.

  10. Choisissez Save pour ajouter les écouteurs que vous venez de configurer.

  11. (Facultatif) Pour configurer l'authentification d'instance principale pour un équilibreur de charge existant, vous devez utiliser l'interface AWS CLI ou une API, car cette tâche n'est pas prise en charge à l'aide de la console. Pour plus d'informations, consultez Configurer l'authentification d'instance principale.

Ajouter un Écouteur HTTPS à l'aide de l'interface AWS CLI

Vous pouvez ajouter un écouteur HTTPS à un équilibreur de charge existant.

Pour ajouter un écouteur HTTPS à votre équilibreur de charge à l'aide de l'interface AWS CLI
  1. Obtenez l'Amazon Resource Name (ARN) du certificat SSL. Par exemple :

    ACM

    arn:aws:acm:region:123456789012:certificate/12345678-1234-1234-1234-123456789012

    IAM

    arn:aws:iam::123456789012:server-certificate/my-server-certificate
  2. Utilisez la commande create-load-balancer-listeners suivante pour ajouter un écouteur à votre équilibreur de charge qui accepte les requêtes HTTPS sur le port 443 et envoie les requêtes aux instances sur le port 80 à l'aide de HTTP :

    aws elb create-load-balancer-listeners --load-balancer-name my-load-balancer --listeners Protocol=HTTPS,LoadBalancerPort=443,InstanceProtocol=HTTP,InstancePort=80,SSLCertificateId=ARN

    Si vous souhaitez configurer l'authentification d'instance principale, utilisez la commande suivante pour ajouter un écouteur qui accepte les demandes HTTPS sur le port 443 et envoie les demandes aux instances sur le port 443 à l'aide de HTTPS :

    aws elb create-load-balancer-listeners --load-balancer-name my-load-balancer --listeners Protocol=HTTPS,LoadBalancerPort=443,InstanceProtocol=HTTPS,InstancePort=443,SSLCertificateId=ARN
  3. (Facultatif) Vous pouvez utiliser la commande describe-load-balancers suivante pour afficher les détails mis à jour de votre équilibreur de charge :

    aws elb describe-load-balancers --load-balancer-name my-load-balancer

    Voici un exemple de réponse :

    { "LoadBalancerDescriptions": [ { ... "ListenerDescriptions": [ { "Listener": { "InstancePort": 80, "SSLCertificateId": "ARN", "LoadBalancerPort": 443, "Protocol": "HTTPS", "InstanceProtocol": "HTTP" }, "PolicyNames": [ "ELBSecurityPolicy-2016-08" ] }, { "Listener": { "InstancePort": 80, "LoadBalancerPort": 80, "Protocol": "HTTP", "InstanceProtocol": "HTTP" }, "PolicyNames": [] } ], ... } ] }
  4. (Facultatif) Votre écouteur HTTPS a été créé à l'aide de la stratégie de sécurité par défaut. Si vous souhaitez spécifier une autre stratégie de sécurité prédéfinie ou une stratégie de sécurité personnalisée, utilisez les commandes create-load-balancer-policy et set-load-balancer-policies-of-listener. Pour de plus amples informations, veuillez consulter Mettre à jour la configuration de négociation SSL à l'aide de l'interface AWS CLI.

  5. (Facultatif) Pour configurer l'authentification d'instance principale, utilisez la commande set-load-balancer-policies-for-backend-server. Pour plus d'informations, consultez Configurer l'authentification d'instance principale.