Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Sertifikat SSL/TLS untuk Classic Load Balancer
Jika Anda menggunakan HTTPS (SSL atau TLS) untuk pendengar front-end Anda, Anda harus menerapkan sertifikat SSL/TLS pada penyeimbang beban Anda. Load balancer menggunakan sertifikat untuk mengakhiri koneksi dan kemudian mendekripsi permintaan dari klien sebelum mengirimnya ke instance.
Protokol SSL dan TLS menggunakan sertifikat X.509 (sertifikat server SSL/TLS) untuk mengautentikasi klien dan aplikasi back-end. Sertifikat X.509 adalah bentuk identifikasi digital yang dikeluarkan oleh otoritas sertifikat (CA) dan berisi informasi identifikasi, masa berlaku, kunci publik, nomor seri, dan tanda tangan digital penerbit.
Anda dapat membuat sertifikat menggunakan AWS Certificate Manager atau alat yang mendukung protokol SSL dan TLS, seperti OpenSSL. Anda akan menentukan sertifikat ini saat membuat atau memperbarui pendengar HTTPS untuk penyeimbang beban Anda. Ketika Anda membuat sertifikat untuk digunakan dengan penyeimbang beban Anda, Anda harus menentukan nama domain.
Ketika Anda membuat sertifikat untuk digunakan dengan penyeimbang beban Anda, Anda harus menentukan nama domain. Nama domain pada sertifikat harus sesuai dengan catatan nama domain kustom. Jika tidak cocok, lalu lintas tidak akan dienkripsi karena koneksi TLS tidak dapat diverifikasi.
Anda harus menentukan nama domain yang sepenuhnya memenuhi syarat (FQDN) untuk sertifikat Anda, seperti www.example.com atau nama domain apex seperti. example.com Anda juga dapat menggunakan tanda bintang (*) sebagai kartu liar untuk melindungi beberapa nama situs di domain yang sama. Saat Anda meminta sertifikat kartu liar, tanda bintang (*) harus berada di posisi paling kiri dari nama domain dan hanya dapat melindungi satu tingkat subdomain. Misalnya, *.example.com melindungicorp.example.com, danimages.example.com, tetapi tidak dapat melindungitest.login.example.com. Perhatikan juga bahwa *.example.com melindungi hanya subdomain dariexample.com, itu tidak melindungi domain telanjang atau apex (). example.com Nama kartu liar akan muncul di bidang Subjek dan di ekstensi Nama Alternatif Subjek sertifikat. Untuk informasi selengkapnya tentang sertifikat publik, lihat Meminta sertifikat publik di Panduan AWS Certificate Manager Pengguna.
Membuat atau mengimpor sertifikat SSL/TLS menggunakan AWS Certificate Manager
Kami menyarankan Anda menggunakan AWS Certificate Manager (ACM) untuk membuat atau mengimpor sertifikat untuk penyeimbang beban Anda. ACM terintegrasi dengan Elastic Load Balancing sehingga Anda dapat men-deploy sertifikat pada penyeimbang beban Anda. Untuk menyebarkan sertifikat pada penyeimbang beban Anda, sertifikat harus berada di Wilayah yang sama dengan penyeimbang beban. Untuk informasi selengkapnya, lihat Meminta sertifikat publik atau Mengimpor sertifikat di Panduan AWS Certificate Manager Pengguna.
Untuk mengizinkan pengguna menerapkan sertifikat pada penyeimbang beban Anda menggunakan AWS Management Console, Anda harus mengizinkan akses ke tindakan ACM APIListCertificates. Untuk informasi selengkapnya, lihat Daftar sertifikat di Panduan AWS Certificate Manager Pengguna.
penting
Anda tidak dapat menginstal sertifikat dengan kunci RSA 4096-bit atau kunci EC pada penyeimbang beban Anda melalui integrasi dengan ACM. Anda harus mengunggah sertifikat dengan kunci RSA 4096-bit atau kunci EC ke IAM untuk menggunakannya dengan penyeimbang beban Anda.
Impor sertifikat SSL/TLS menggunakan IAM
Jika Anda tidak menggunakan ACM, Anda dapat menggunakan alat SSL/TLS, seperti OpenSSL, untuk membuat permintaan penandatanganan sertifikat (CSR), mendapatkan CSR yang ditandatangani oleh CA untuk menghasilkan sertifikat, dan mengunggah sertifikat ke IAM. Untuk informasi selengkapnya, lihatBekerja dengan sertifikat serverdiPanduan Pengguna IAM.
