Perbarui konfigurasi SSL negosiasi Classic Load Balancer Anda - Penyeimbang Beban Elastis
Perbarui konfigurasi SSL negosiasi menggunakan konsolPerbarui konfigurasi SSL negosiasi menggunakan AWS CLI

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Perbarui konfigurasi SSL negosiasi Classic Load Balancer Anda

Elastic Load Balancing menyediakan kebijakan keamanan yang memiliki konfigurasi SSL negosiasi yang telah ditentukan sebelumnya untuk digunakan untuk menegosiasikan SSL koneksi antara klien dan penyeimbang beban Anda. Jika Anda menggunakan SSL protokolHTTPS/untuk listener Anda, Anda dapat menggunakan salah satu kebijakan keamanan yang telah ditentukan sebelumnya, atau menggunakan kebijakan keamanan kustom Anda sendiri.

Untuk informasi selengkapnya tentang kebijakan keamanan, lihatSSLkonfigurasi negosiasi untuk Classic Load Balancers. Untuk informasi tentang konfigurasi kebijakan keamanan yang disediakan oleh Elastic Load Balancing, lihat. Kebijakan SSL keamanan yang telah ditetapkan

Jika Anda membuat SSL pendengarHTTPS/tanpa mengaitkan kebijakan keamanan, Elastic Load Balancing mengaitkan kebijakan keamanan standar standar defaultELBSecurityPolicy-2016-08, dengan penyeimbang beban Anda.

Jika mau, Anda dapat membuat konfigurasi khusus. Kami sangat menyarankan agar Anda menguji kebijakan keamanan sebelum meng-upgrade konfigurasi load balancer Anda.

Contoh berikut menunjukkan cara memperbarui konfigurasi SSL negosiasi untukHTTPS/SSLlistener. Perhatikan bahwa perubahan tidak memengaruhi permintaan yang diterima oleh node penyeimbang beban dan sedang menunggu perutean ke instance yang sehat, tetapi konfigurasi yang diperbarui akan digunakan dengan permintaan baru yang diterima.

Perbarui konfigurasi SSL negosiasi menggunakan konsol

Secara default, Elastic Load Balancing mengaitkan kebijakan terbaru yang telah ditentukan sebelumnya dengan penyeimbang beban Anda. Saat kebijakan baru yang telah ditentukan ditambahkan, sebaiknya Anda memperbarui penyeimbang beban untuk menggunakan kebijakan baru yang telah ditentukan sebelumnya. Atau, Anda dapat memilih kebijakan keamanan yang telah ditentukan sebelumnya atau membuat kebijakan khusus.

Untuk memperbarui konfigurasi SSL negosiasi untukHTTPS/SSLload balancer menggunakan konsol

  1. Buka EC2 konsol Amazon di https://console.aws.amazon.com/ec2/.

  2. Pada panel navigasi, di bawah PENYEIMBANGAN BEBAN, pilih Penyeimbang beban.

  3. Pilih nama penyeimbang beban untuk membuka halaman detailnya.

  4. Pada tab Listeners, pilih Kelola pendengar.

  5. Pada halaman Kelola listener, cari listener yang akan diperbarui, pilih Edit di bawah Kebijakan keamanan pilih kebijakan keamanan menggunakan salah satu opsi berikut:

    • Simpan kebijakan default, ELBSecurityPolicy-2016-08, lalu pilih Simpan perubahan.

    • Pilih kebijakan yang telah ditentukan sebelumnya selain default, lalu pilih Simpan perubahan.

    • Pilih Custom dan aktifkan setidaknya satu protokol dan satu cipher sebagai berikut:

      1. Untuk SSLProtokol, pilih satu atau beberapa protokol yang akan diaktifkan.

      2. Untuk SSLOpsi, pilih Preferensi Pesanan Server untuk menggunakan pesanan yang Kebijakan SSL keamanan yang telah ditetapkan tercantum dalam SSL negosiasi.

      3. Untuk SSLCipher, pilih satu atau beberapa cipher untuk mengaktifkan. Jika Anda sudah memiliki SSL sertifikat, Anda harus mengaktifkan cipher yang digunakan untuk membuat sertifikat, karena DSA dan RSA cipher khusus untuk algoritma penandatanganan.

      4. Pilih Simpan perubahan.

Perbarui konfigurasi SSL negosiasi menggunakan AWS CLI

Anda dapat menggunakan kebijakan keamanan standar defaultELBSecurityPolicy-2016-08, kebijakan keamanan standar yang berbeda, atau kebijakan keamanan khusus.

Untuk menggunakan kebijakan SSL keamanan yang telah ditentukan

  1. Gunakan describe-load-balancer-policiesperintah berikut untuk membuat daftar kebijakan keamanan yang telah ditetapkan yang disediakan oleh Elastic Load Balancing. Sintaks yang Anda gunakan tergantung pada sistem operasi dan shell yang Anda gunakan.

    Linux

    aws elb describe-load-balancer-policies --query 'PolicyDescriptions[?PolicyTypeName==`SSLNegotiationPolicyType`].{PolicyName:PolicyName}' --output table

    Windows

    aws elb describe-load-balancer-policies --query "PolicyDescriptions[?PolicyTypeName==`SSLNegotiationPolicyType`].{PolicyName:PolicyName}" --output table

    Berikut ini adalah output contoh:

    ------------------------------------------
|      DescribeLoadBalancerPolicies      |
+----------------------------------------+
|               PolicyName               |
+----------------------------------------+
|  ELBSecurityPolicy-2016-08             |
|  ELBSecurityPolicy-TLS-1-2-2017-01     |
|  ELBSecurityPolicy-TLS-1-1-2017-01     |
|  ELBSecurityPolicy-2015-05             |
|  ELBSecurityPolicy-2015-03             |
|  ELBSecurityPolicy-2015-02             |
|  ELBSecurityPolicy-2014-10             |
|  ELBSecurityPolicy-2014-01             |
|  ELBSecurityPolicy-2011-08             |
|  ELBSample-ELBDefaultCipherPolicy      |
|  ELBSample-OpenSSLDefaultCipherPolicy  |
+----------------------------------------+

    Untuk menentukan sandi mana yang diaktifkan untuk kebijakan, gunakan perintah berikut:

    aws elb describe-load-balancer-policies --policy-names ELBSecurityPolicy-2016-08 --output table

    Untuk informasi tentang konfigurasi untuk kebijakan keamanan yang telah ditentukan sebelumnya, lihatKebijakan SSL keamanan yang telah ditetapkan.

  2. Gunakan create-load-balancer-policyperintah untuk membuat kebijakan SSL negosiasi menggunakan salah satu kebijakan keamanan yang telah ditentukan sebelumnya yang Anda jelaskan pada langkah sebelumnya. Misalnya, perintah berikut menggunakan kebijakan keamanan standar yang telah ditentukan sebelumnya:

    aws elb create-load-balancer-policy --load-balancer-name my-loadbalancer
--policy-name my-SSLNegotiation-policy  --policy-type-name SSLNegotiationPolicyType
--policy-attributes AttributeName=Reference-Security-Policy,AttributeValue=ELBSecurityPolicy-2016-08

    Jika Anda melebihi batas jumlah kebijakan untuk penyeimbang beban, gunakan delete-load-balancer-policyperintah untuk menghapus kebijakan yang tidak digunakan.

  3. (Opsional) Gunakan describe-load-balancer-policiesperintah berikut untuk memverifikasi bahwa kebijakan dibuat:

    aws elb describe-load-balancer-policies --load-balancer-name my-loadbalancer --policy-name my-SSLNegotiation-policy

    Tanggapan tersebut mencakup deskripsi kebijakan.

  4. Gunakan perintah set-load-balancer-policies-of-listener berikut untuk mengaktifkan kebijakan pada port penyeimbang beban 443:

    aws elb set-load-balancer-policies-of-listener --load-balancer-name my-loadbalancer --load-balancer-port 443 --policy-names my-SSLNegotiation-policy
    catatan

    set-load-balancer-policies-of-listenerPerintah menggantikan kumpulan kebijakan saat ini untuk port penyeimbang beban yang ditentukan dengan kumpulan kebijakan yang ditentukan. --policy-namesDaftar harus menyertakan semua kebijakan yang akan diaktifkan. Jika Anda menghilangkan kebijakan yang saat ini diaktifkan, kebijakan tersebut akan dinonaktifkan.

  5. (Opsional) Gunakan describe-load-balancersperintah berikut untuk memverifikasi bahwa kebijakan baru diaktifkan untuk port penyeimbang beban:

    aws elb describe-load-balancers --load-balancer-name my-loadbalancer

    Tanggapan menunjukkan bahwa kebijakan diaktifkan pada port 443.

    ...
  {
      "Listener": {
          "InstancePort": 443,
          "SSLCertificateId": "ARN",
          "LoadBalancerPort": 443,
          "Protocol": "HTTPS",
          "InstanceProtocol": "HTTPS"
      },
      "PolicyNames": [
          "my-SSLNegotiation-policy"
      ]
  }
...

Saat Anda membuat kebijakan keamanan khusus, Anda harus mengaktifkan setidaknya satu protokol dan satu sandi. DSADan RSA cipher khusus untuk algoritma penandatanganan dan digunakan untuk membuat sertifikat. SSL Jika Anda sudah memiliki SSL sertifikat, pastikan untuk mengaktifkan sandi yang digunakan untuk membuat sertifikat. Nama kebijakan kustom Anda tidak boleh dimulai dengan ELBSecurityPolicy- atauELBSample-, karena awalan ini dicadangkan untuk nama-nama kebijakan keamanan yang telah ditentukan sebelumnya.

Untuk menggunakan kebijakan SSL keamanan khusus

  1. Gunakan create-load-balancer-policyperintah untuk membuat kebijakan SSL negosiasi menggunakan kebijakan keamanan khusus. Sebagai contoh:

    aws elb create-load-balancer-policy --load-balancer-name my-loadbalancer 
 --policy-name my-SSLNegotiation-policy --policy-type-name SSLNegotiationPolicyType 
 --policy-attributes AttributeName=Protocol-TLSv1.2,AttributeValue=true 
 AttributeName=Protocol-TLSv1.1,AttributeValue=true 
 AttributeName=DHE-RSA-AES256-SHA256,AttributeValue=true 
 AttributeName=Server-Defined-Cipher-Order,AttributeValue=true

    Jika Anda melebihi batas jumlah kebijakan untuk penyeimbang beban, gunakan delete-load-balancer-policyperintah untuk menghapus kebijakan yang tidak digunakan.

  2. (Opsional) Gunakan describe-load-balancer-policiesperintah berikut untuk memverifikasi bahwa kebijakan dibuat:

    aws elb describe-load-balancer-policies --load-balancer-name my-loadbalancer --policy-name my-SSLNegotiation-policy

    Tanggapan tersebut mencakup deskripsi kebijakan.

  3. Gunakan perintah set-load-balancer-policies-of-listener berikut untuk mengaktifkan kebijakan pada port penyeimbang beban 443:

    aws elb set-load-balancer-policies-of-listener --load-balancer-name my-loadbalancer --load-balancer-port 443 --policy-names my-SSLNegotiation-policy
    catatan

    set-load-balancer-policies-of-listenerPerintah menggantikan kumpulan kebijakan saat ini untuk port penyeimbang beban yang ditentukan dengan kumpulan kebijakan yang ditentukan. --policy-namesDaftar harus menyertakan semua kebijakan yang akan diaktifkan. Jika Anda menghilangkan kebijakan yang saat ini diaktifkan, kebijakan tersebut akan dinonaktifkan.

  4. (Opsional) Gunakan describe-load-balancersperintah berikut untuk memverifikasi bahwa kebijakan baru diaktifkan untuk port penyeimbang beban:

    aws elb describe-load-balancers --load-balancer-name my-loadbalancer

    Tanggapan menunjukkan bahwa kebijakan diaktifkan pada port 443.

    ...
  {
      "Listener": {
          "InstancePort": 443,
          "SSLCertificateId": "ARN",
          "LoadBalancerPort": 443,
          "Protocol": "HTTPS",
          "InstanceProtocol": "HTTPS"
      },
      "PolicyNames": [
          "my-SSLNegotiation-policy"
      ]
  }
...