Mettre à jour la configuration de négociation SSL de votre Equilibreur de charge classique - Elastic Load Balancing

Si nous fournissons une traduction de la version anglaise du guide, la version anglaise du guide aura préséance en cas de contradiction. La traduction sera une traduction automatique.

Mettre à jour la configuration de négociation SSL de votre Equilibreur de charge classique

Elastic Load Balancing fournit des stratégies de sécurité qui ont des configurations de négociation SSL prédéfinies à utiliser pour négocier des connexions SSL entre les clients et votre équilibreur de charge. Si vous utilisez le protocole HTTPS/SSL pour votre écouteur, vous pouvez utiliser l'une des stratégies de sécurité prédéfinies ou votre propre stratégie de sécurité personnalisée.

Pour plus d'informations sur les stratégies de sécurité, consultez Configurations de négociation SSL pour Equilibreurs de charge classiques. Pour plus d'informations sur les configurations des stratégies de sécurité fournies par Elastic Load Balancing, consultez Politiques de sécurité SSL prédéfinies.

Si vous créez un auditeur HTTPS/SSL sans associer une politique de sécurité, Elastic Load Balancing associe la politique de sécurité prédéfinie par défaut, ELBSecurityPolicy-2016-08, avec votre équilibreur de charge.

Si vous avez un équilibreur de charge existant avec une configuration de négociation SSL qui n'utilise pas les derniers protocoles et chiffrements, nous vous recommandons de mettre à jour votre équilibreur de charge pour utiliser ELBSecurityPolicy-2016-08. Si vous préférez, vous pouvez créer une configuration personnalisée. Nous vous recommandons vivement de tester les nouvelles stratégies de sécurité avant de mettre à niveau la configuration de votre équilibreur de charge.

Les exemples suivants vous montrent comment mettre à jour la configuration de négociation SSL pour un écouteur HTTPS/SSL. Notez que la modification n'affecte pas les demandes reçues par un nœud d'équilibreur de charge et qui sont en attente de routage vers une instance saine ; la configuration mise à jour sera utilisée avec les nouvelles demandes reçues.

Mettre à jour la configuration de négociation SSL à l’aide de la console

Par défaut, Elastic Load Balancing associe la dernière stratégie prédéfinie à votre équilibreur de charge. Lorsqu'une nouvelle stratégie prédéfinie est ajoutée, nous vous recommandons de mettre à jour votre équilibreur de charge pour utiliser la nouvelle stratégie prédéfinie. Vous pouvez également sélectionner une autre stratégie de sécurité prédéfinie ou créer une stratégie personnalisée.

Pour mettre à jour la configuration de négociation SSL pour un équilibreur de charge HTTPS/SSL

  1. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.

  2. Dans le panneau de navigation, sous LOAD BALANCING, choisissez Load Balancers.

  3. Sélectionnez votre équilibreur de charge.

  4. Sur le Auditeurs pour Cipher, choisissez Modifier.

  5. Sur le Sélectionnez un cipher , sélectionnez une politique de sécurité en utilisant l’une des options suivantes :

    • (Recommandé) Sélectionner Politique de sécurité prédéfinie, conserver la politique par défaut, ELBSecurityPolicy-2016-08, puis choisissez Enregistrer.

    • Sélectionner Politique de sécurité prédéfinie, sélectionnez une politique prédéfinie autre que celle par défaut, puis choisissez Enregistrer.

    • Sélectionner Politique de sécurité personnalisée et activer au moins un protocole et un cipher comme suit :

      1. Pour Protocoles SSL, sélectionnez un ou plusieurs protocoles pour activer.

      2. Pour Options SSL, sélectionnez Préférence de commande serveur pour utiliser la commande indiquée dans le Politiques de sécurité SSL prédéfinies pour la négociation SSL.

      3. Pour Chiffrement SSL, sélectionnez un ou plusieurs ciphers pour activer. Si vous avez déjà un certificat SSL, vous devez activer le chiffrement qui a été utilisé pour créer le certificat, car les chiffrements DSA et RSA sont spécifiques à l'algorithme de signature.

      4. Choisir Enregistrer.

Mettre à jour la configuration de négociation SSL en utilisant AWS CLI

Vous pouvez utiliser la stratégie de sécurité prédéfinie par défaut, ELBSecurityPolicy-2016-08, une autre stratégie de sécurité prédéfinie ou une stratégie de sécurité personnalisée.

Pour utiliser une stratégie de sécurité SSL prédéfinie

  1. Utiliser les éléments suivants décrire-load-balancer-policies commande pour énumérer les politiques de sécurité prédéfinies fournies par Elastic Load Balancing. La syntaxe que vous utilisez dépend du système d’exploitation et de la coque que vous utilisez.

    Linux*

    aws elb describe-load-balancer-policies --query 'PolicyDescriptions[?PolicyTypeName==`SSLNegotiationPolicyType`].{PolicyName:PolicyName}' --output table

    Windows:

    aws elb describe-load-balancer-policies --query "PolicyDescriptions[?PolicyTypeName==`SSLNegotiationPolicyType`].{PolicyName:PolicyName}" --output table

    Voici un exemple de sortie.

    ------------------------------------------ | DescribeLoadBalancerPolicies | +----------------------------------------+ | PolicyName | +----------------------------------------+ | ELBSecurityPolicy-2016-08 | | ELBSecurityPolicy-TLS-1-2-2017-01 | | ELBSecurityPolicy-TLS-1-1-2017-01 | | ELBSecurityPolicy-2015-05 | | ELBSecurityPolicy-2015-03 | | ELBSecurityPolicy-2015-02 | | ELBSecurityPolicy-2014-10 | | ELBSecurityPolicy-2014-01 | | ELBSecurityPolicy-2011-08 | | ELBSample-ELBDefaultCipherPolicy | | ELBSample-OpenSSLDefaultCipherPolicy | +----------------------------------------+

    Pour déterminer quels chiffrements sont activés pour une stratégie, utilisez la commande suivante :

    aws elb describe-load-balancer-policies --policy-names ELBSecurityPolicy-2016-08 --output table

    Pour plus d'informations sur la configuration des stratégies de sécurité prédéfinies, consultez Politiques de sécurité SSL prédéfinies.

  2. Utilisez le politique-de-création-d-équilibrage-de-charge commande pour créer une politique de négociation SSL en utilisant l’une des politiques de sécurité prédéfinies que vous avez décrites à l’étape précédente. Par exemple, la commande suivante utilise la stratégie de sécurité prédéfinie par défaut :

    aws elb create-load-balancer-policy --load-balancer-name my-loadbalancer --policy-name my-SSLNegotiation-policy --policy-type-name SSLNegotiationPolicyType --policy-attributes AttributeName=Reference-Security-Policy,AttributeValue=ELBSecurityPolicy-2016-08

    Si vous dépassez la limite du nombre de politiques de l’équilibreur de charge, utilisez supprimer-charger-la-politique-équilibreur commande pour supprimer toutes les politiques non utilisées.

  3. (Facultatif) Utilisez les éléments suivants décrire-load-balancer-policies pour vérifier que la stratégie est créée :

    aws elb describe-load-balancer-policies --load-balancer-name my-loadbalancer --policy-name my-SSLNegotiation-policy

    La réponse inclut la description de la stratégie.

  4. Utiliser les éléments suivants règles-de-l-auditeur-de-charge-de-jeu-de-configuration commande pour activer la stratégie sur le port 443 de l’équilibreur de charge :

    aws elb set-load-balancer-policies-of-listener --load-balancer-name my-loadbalancer --load-balancer-port 443 --policy-names my-SSLNegotiation-policy
    Note

    La commande set-load-balancer-policies-of-listener remplace l'ensemble de stratégies actuel pour le port de programme d'équilibreur de charge indiqué par l'ensemble de stratégies spécifié. La liste --policy-names doit inclure toutes les stratégies à activer. Si vous omettez une stratégie actuellement activée, celle-ci est désactivée.

  5. (Facultatif) Utilisez les éléments suivants décrire-charges-équilibreuses commande pour vérifier que la nouvelle stratégie est activée pour le port répartiteur de charge :

    aws elb describe-load-balancers --load-balancer-name my-loadbalancer

    La réponse montre que la stratégie est activée sur le port 443.

    ... { "Listener": { "InstancePort": 443, "SSLCertificateId": "ARN", "LoadBalancerPort": 443, "Protocol": "HTTPS", "InstanceProtocol": "HTTPS" }, "PolicyNames": [ "my-SSLNegotiation-policy" ] } ...

Lorsque vous créez une stratégie de sécurité personnalisée, vous devez activer au moins un protocole et un chiffrement. Les chiffrements DSA et RSA sont spécifiques à l'algorithme de signature et sont utilisés pour créer le certificat SSL. Si vous avez déjà un certificat SSL, veillez à activer le chiffrement qui a été utilisé pour créer le certificat. Le nom de votre politique personnalisée ne doit pas commencer par ELBSecurityPolicy- ou ELBSample-, car ces préfixes sont réservés aux noms des politiques de sécurité prédéfinies.

Pour utiliser une stratégie de sécurité SSL personnalisée

  1. Utilisez le politique-de-création-d-équilibrage-de-charge commande pour créer une politique de négociation SSL en utilisant une politique de sécurité personnalisée. Par exemple,

    aws elb create-load-balancer-policy --load-balancer-name my-loadbalancer --policy-name my-SSLNegotiation-policy --policy-type-name SSLNegotiationPolicyType --policy-attributes AttributeName=Protocol-TLSv1.2,AttributeValue=true AttributeName=Protocol-TLSv1.1,AttributeValue=true AttributeName=DHE-RSA-AES256-SHA256,AttributeValue=true AttributeName=Server-Defined-Cipher-Order,AttributeValue=true

    Si vous dépassez la limite du nombre de politiques de l’équilibreur de charge, utilisez supprimer-charger-la-politique-équilibreur commande pour supprimer toutes les politiques non utilisées.

  2. (Facultatif) Utilisez les éléments suivants décrire-load-balancer-policies pour vérifier que la stratégie est créée :

    aws elb describe-load-balancer-policies --load-balancer-name my-loadbalancer --policy-name my-SSLNegotiation-policy

    La réponse inclut la description de la stratégie.

  3. Utiliser les éléments suivants règles-de-l-auditeur-de-charge-de-jeu-de-configuration commande pour activer la stratégie sur le port 443 de l’équilibreur de charge :

    aws elb set-load-balancer-policies-of-listener --load-balancer-name my-loadbalancer --load-balancer-port 443 --policy-names my-SSLNegotiation-policy
    Note

    La commande set-load-balancer-policies-of-listener remplace l'ensemble de stratégies actuel pour le port de programme d'équilibreur de charge indiqué par l'ensemble de stratégies spécifié. La liste --policy-names doit inclure toutes les stratégies à activer. Si vous omettez une stratégie actuellement activée, celle-ci est désactivée.

  4. (Facultatif) Utilisez les éléments suivants décrire-charges-équilibreuses commande pour vérifier que la nouvelle stratégie est activée pour le port répartiteur de charge :

    aws elb describe-load-balancers --load-balancer-name my-loadbalancer

    La réponse montre que la stratégie est activée sur le port 443.

    ... { "Listener": { "InstancePort": 443, "SSLCertificateId": "ARN", "LoadBalancerPort": 443, "Protocol": "HTTPS", "InstanceProtocol": "HTTPS" }, "PolicyNames": [ "my-SSLNegotiation-policy" ] } ...