Certificats SSL/TLS pour Equilibreurs de charge classiques - Elastic Load Balancing

Si nous fournissons une traduction de la version anglaise du guide, la version anglaise du guide aura préséance en cas de contradiction. La traduction sera une traduction automatique.

Certificats SSL/TLS pour Equilibreurs de charge classiques

Si vous utilisez le protocole HTTPS (SSL ou TLS) pour votre écouteur front-end, vous devez déployer un certificat SSL/TLS sur votre équilibreur de charge. L'équilibreur de charge utilise le certificat pour mettre fin à la connexion, puis déchiffrer les demandes des clients avant de les envoyer aux instances.

Les protocoles SSL et TLS utilisent un certificat X.509 (certificat de serveur SSL/TLS) pour authentifier le client et l'application back-end. Un certificat X.509 est une forme numérique d'identification émise par une autorité de certification (CA). Il contient les informations d'identification, une période de validité, une clé publique, un numéro de série et la signature numérique de l'émetteur.

Vous pouvez créer un certificat à l'aide d'AWS Certificate Manager ou d'un outil qui prend en charge les protocoles SSL et TLS, comme OpenSSL. Vous spécifierez ce certificat lorsque vous créerez ou mettrez à jour un écouteur HTTPS pour votre équilibreur de charge. Lorsque vous créez un certificat à utiliser avec votre équilibreur de charge, vous devez spécifier un nom de domaine.

Créer ou importer un certificat SSL/TLS en utilisant AWS Certificate Manager

Nous vous recommandons d’utiliser AWS Certificate Manager (ACM) pour créer ou importer des certificats pour votre équilibreur de charge. ACM s’intègre avec Elastic Load Balancing afin de pouvoir déployer le certificat sur votre répartiteur de charge. Pour déployer un certificat sur votre répartiteur de charge, le certificat doit être dans la même région que l’équilibreur de charge. Pour plus d’informations, voir Demander un certificat public ou Importation de certificats dans le AWS Certificate Manager Guide de l'utilisateur.

Pour permettre un IAM utilisateur pour déployer le certificat sur votre répartiteur de charge à l’aide du AWS Management Console, vous devez autoriser l’accès à ACM ListCertificates Action API. Pour plus d’informations, voir Certificats de liste dans le AWS Certificate Manager Guide de l'utilisateur.

Important

Vous ne pouvez pas installer des certificats avec des clés EC ou des clés RSA 4096 bits sur votre équilibreur de charge via l'intégration à ACM. Vous devez charger des certificats avec des clés EC ou des clés RSA 4096 bits dans IAM pour les utiliser avec votre équilibreur de charge.

Importer un certificat SSL/TLS en utilisant IAM

Si vous n'utilisez pas ACM, vous pouvez utiliser des outils SSL/TLS comme OpenSSL pour créer une demande de signature de certificat (CSR), puis faire signer la CSR par une CA afin de générer un certificat et charger celui-ci dans AWS Identity and Access Management (IAM). Pour plus d’informations sur le téléchargement des certificats vers IAM, voir Utilisation des certificats de serveur dans le IAM Guide de l'utilisateur.