Certificats SSL/TLS pour les Classic Load Balancers

Si vous utilisez le protocole HTTPS (SSL ou TLS) pour votre écouteur front-end, vous devez déployer un certificat SSL/TLS sur votre équilibreur de charge. L'équilibreur de charge utilise le certificat pour mettre fin à la connexion, puis déchiffrer les demandes des clients avant de les envoyer aux instances.

Les protocoles SSL et TLS utilisent un certificat X.509 (certificat de serveur SSL/TLS) pour authentifier le client et l'application back-end. Un certificat X.509 est une forme numérique d'identification émise par une autorité de certification (CA). Il contient les informations d'identification, une période de validité, une clé publique, un numéro de série et la signature numérique de l'émetteur.

Vous pouvez créer un certificat à l'aide AWS Certificate Manager d'un outil prenant en charge les protocoles SSL et TLS, comme OpenSSL. Vous spécifierez ce certificat lorsque vous créerez ou mettrez à jour un écouteur HTTPS pour votre équilibreur de charge. Lorsque vous créez un certificat à utiliser avec votre équilibreur de charge, vous devez spécifier un nom de domaine.

Lorsque vous créez un certificat à utiliser avec votre équilibreur de charge, vous devez spécifier un nom de domaine. Le nom de domaine figurant sur le certificat doit correspondre à l'enregistrement du nom de domaine personnalisé. S'ils ne correspondent pas, le trafic ne sera pas chiffré, car la connexion TLS ne peut pas être vérifiée.

Vous devez spécifier un nom de domaine complet (FQDN) pour votre certificat, tel que www.example.com ou un nom de domaine apex tel que example.com. Vous pouvez également utiliser un astérisque (*) comme caractère générique pour protéger plusieurs noms de sites dans le même domaine. Lorsque vous demandez un certificat générique, l'astérisque (*) doit se trouver tout à gauche du nom de domaine et ne peut protéger qu'un seul niveau de sous-domaine. Par exemple, *.example.com protège corp.example.com et images.example.com, mais ne peut pas protéger test.login.example.com. Notez également que *.example.com ne protège que les sous-domaines de example.com, il ne protège pas le domaine strict ou apex (example.com). Le nom générique apparaîtra dans le champ Objet et dans l'extension Autre nom de l'objet du certificat. Pour plus d'informations sur les certificats publics, consultez Demande de certificat public du Guide de l'utilisateur AWS Certificate Manager .

Créez ou importez un certificat SSL/TLS à l'aide de AWS Certificate Manager

Nous vous recommandons d'utiliser AWS Certificate Manager (ACM) pour créer ou importer des certificats pour votre équilibreur de charge. ACM s'intègre à Elastic Load Balancing afin que vous puissiez déployer le certificat sur votre équilibreur de charge. Pour que vous puissiez déployer un certificat sur votre équilibreur de charge, le certificat doit être dans la même Région que l'équilibreur de charge. Pour plus d'informations, consultez Demander un certificat public ou Importation de certificats dans le AWS Certificate Manager Guide de l'utilisateur.

Pour permettre à un utilisateur de déployer le certificat sur votre équilibreur de charge avec AWS Management Console, vous devez accorder l'accès à l'action d'API ListCertificates d'ACM. Pour plus d'informations, consultez la section Liste des certificats dans le AWS Certificate Manager Guide de l'utilisateur.

Important

Vous ne pouvez pas installer des certificats avec des clés EC ou des clés RSA 4096 bits sur votre équilibreur de charge via l'intégration à ACM. Vous devez charger des certificats avec des clés EC ou des clés RSA 4096 bits dans IAM pour les utiliser avec votre équilibreur de charge.

Importation d'un certificat SSL/TLS à l'aide d'IAM

Si vous n'utilisez pas ACM, vous pouvez utiliser des outils SSL/TLS comme OpenSSL pour créer une demande de signature de certificat (CSR), puis faire signer la CSR par une CA afin de générer un certificat et charger celui-ci dans IAM. Pour de plus amples informations, veuillez consulter Utilisation des certificats de serveur dans le Guide de l'utilisateur IAM.