Creazione di un ascoltatore HTTPS per Application Load Balancer - Sistema di bilanciamento del carico elastico
Sostituzione del certificato predefinitoAggiunta di certificati all’elenco dei certificatiRimozione di un certificato dall’elenco dei certificatiAggiornamento della policy di sicurezzaModifica dell'intestazione HTTP

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Creazione di un ascoltatore HTTPS per Application Load Balancer

Dopo aver creato un listener HTTPS, puoi sostituire il certificato predefinito, aggiornare l’elenco di certificati o sostituire la policy di sicurezza.

Sostituzione del certificato predefinito

È possibile sostituire il certificato predefinito per il listener tramite la seguente procedura. Per ulteriori informazioni, consulta Certificato predefinito.

Console
Per sostituire il certificato predefinito

  1. Apri la EC2 console Amazon all'indirizzo https://console.aws.amazon.com/ec2/.

  2. Seleziona Sistemi di bilanciamento del carico nel riquadro di navigazione.

  3. Selezionare il load balancer.

  4. Nella scheda Ascoltatori e regole, scegli il testo nella colonna Protocollo:Porta per aprire la pagina dei dettagli dell'ascoltatore.

  5. Nella scheda Certificati, scegli Modifica predefinito.

  6. Nella tabella Certificati ACM e IAM, seleziona un nuovo certificato predefinito.

  7. (Facoltativo) Per impostazione predefinita, selezioniamo Aggiungi il certificato predefinito precedente all'elenco dei certificati del listener. Ti consigliamo di mantenere selezionata questa opzione, a meno che al momento non disponi di certificati listener per SNI e ti affidi alla ripresa della sessione TLS.

  8. Scegliere Salva come predefinito.

AWS CLI
Per sostituire il certificato predefinito

Utilizza il comando modify-listener.

aws elbv2 modify-listener \
    --listener-arn listener-arn \
    --certificates CertificateArn=new-default-certificate-arn
CloudFormation
Per sostituire il certificato predefinito

Aggiorna il AWS::ElasticLoadBalancingV2::Listener.

Resources:
  myHTTPSListener:
    Type: 'AWS::ElasticLoadBalancingV2::Listener'
    Properties: 
      LoadBalancerArn: !Ref myLoadBalancer
      Protocol: HTTPS
      Port: 443
      DefaultActions:
        - Type: "forward"
          TargetGroupArn: !Ref myTargetGroup
      SslPolicy: ELBSecurityPolicy-TLS13-1-2-2021-06
      Certificates: 
        - CertificateArn: new-default-certificate-arn

Aggiunta di certificati all’elenco dei certificati

È possibile aggiungere certificati all'elenco di certificati per il listener tramite la seguente procedura. Se hai creato il listener utilizzando AWS Management Console, abbiamo aggiunto il certificato predefinito all'elenco dei certificati per te. Altrimenti, l'elenco dei certificati è vuoto. L'aggiunta del certificato predefinito all'elenco dei certificati garantisce che questo certificato venga utilizzato con il protocollo SNI anche se viene sostituito come certificato predefinito. Per ulteriori informazioni, consulta Certificati SSL per il tuo Application Load Balancer.

Console
Per aggiungere certificati all'elenco dei certificati

  1. Apri la EC2 console Amazon all'indirizzo https://console.aws.amazon.com/ec2/.

  2. Seleziona Sistemi di bilanciamento del carico nel riquadro di navigazione.

  3. Selezionare il load balancer.

  4. Nella scheda Ascoltatori e regole, scegli il testo nella colonna Protocollo:Porta per aprire la pagina dei dettagli dell'ascoltatore.

  5. Scegliere la scheda Certificates (Certificati).

  6. Per aggiungere il certificato predefinito all'elenco, scegli Aggiungi predefinito all'elenco.

  7. Per aggiungere certificati non predefiniti all'elenco, procedi come segue:

    1. Scegli Aggiungi certificato.

    2. Per aggiungere certificati già gestiti da ACM o IAM, seleziona le caselle di controllo per i certificati e scegli Includi come in sospeso di seguito.

    3. Per aggiungere un certificato non gestito da ACM o IAM, scegli Importa certificato, compila il modulo e scegli Importa.

    4. Scegliere Aggiungi certificati in sospeso.

AWS CLI
Per aggiungere un certificato all'elenco dei certificati

Utilizza il comando add-listener-certificates.

aws elbv2 add-listener-certificates \
    --listener-arn listener-arn \
    --certificates \
        CertificateArn=certificate-arn-1 \
        CertificateArn=certificate-arn-2 \
        CertificateArn=certificate-arn-3
CloudFormation
Per aggiungere certificati all'elenco dei certificati

Definire un tipo di risorsa AWS::ElasticLoadBalancingV2::ListenerCertificate.

Resources: 
  myCertificateList:
    Type: 'AWS::ElasticLoadBalancingV2::ListenerCertificate'
    Properties:
      ListenerArn: !Ref myTLSListener
      Certificates:
        - CertificateArn: "certificate-arn-1"
        - CertificateArn: "certificate-arn-2"
        - CertificateArn: "certificate-arn-3"

Rimozione di un certificato dall’elenco dei certificati

È possibile rimuovere certificati dall'elenco di certificati per un listener HTTPS tramite la seguente procedura. Dopo aver rimosso un certificato, il listener non può più creare connessioni utilizzando quel certificato. Per assicurarti che i client non siano interessati, aggiungi un nuovo certificato all'elenco e conferma che le connessioni funzionino prima di rimuovere un certificato dall'elenco.

Per rimuovere il certificato predefinito per un listener TLS consulta Sostituzione del certificato predefinito.

Console
Per rimuovere i certificati dall'elenco dei certificati

  1. Apri la EC2 console Amazon all'indirizzo https://console.aws.amazon.com/ec2/.

  2. Seleziona Sistemi di bilanciamento del carico nel riquadro di navigazione.

  3. Selezionare il load balancer.

  4. Nella scheda Ascoltatori e regole, seleziona il testo nella colonna Protocollo:Porta per aprire la pagina dei dettagli dell'ascoltatore.

  5. Nella scheda Certificati, seleziona le caselle di controllo per i certificati e scegliere Rimuovi.

  6. Quando viene richiesta la conferma, immetti confirm e seleziona Rifiuta.

AWS CLI
Per rimuovere un certificato dall'elenco dei certificati

Utilizza il comando remove-listener-certificates.

aws elbv2 remove-listener-certificates \
    --listener-arn listener-arn \
    --certificates CertificateArn=certificate-arn

Aggiornamento della policy di sicurezza

Al momento della creazione di un listener HTTPS, è possibile selezionare la policy di sicurezza in grado di soddisfare le proprie esigenze. Quando viene aggiunta una nuova policy di sicurezza, è possibile aggiornare l'ascoltatore HTTPS perché utilizzi la nuova policy di sicurezza. Gli Application Load Balancer non supportano policy di sicurezza personalizzate. Per ulteriori informazioni, consulta Politiche di sicurezza per il tuo Application Load Balancer.

L'aggiornamento della politica di sicurezza può causare interruzioni se il sistema di bilanciamento del carico gestisce un volume di traffico elevato. Per ridurre la possibilità di interruzioni quando il sistema di bilanciamento del carico gestisce un volume di traffico elevato, crea un sistema di bilanciamento del carico aggiuntivo che aiuti a gestire il traffico o richiedi una prenotazione LCU.

Utilizzo delle politiche FIPS sull'Application Load Balancer

Tutti i listener sicuri collegati a un Application Load Balancer devono utilizzare policy di sicurezza FIPS o policy di sicurezza non FIPS; non possono essere combinate. Se un Application Load Balancer esistente ha due o più listener che utilizzano policy non FIPS e desideri che i listener utilizzino invece policy di sicurezza FIPS, rimuovi tutti i listener finché non ce n'è uno solo. Modificate la politica di sicurezza del listener in FIPS, quindi create listener aggiuntivi utilizzando le politiche di sicurezza FIPS. In alternativa, è possibile creare un nuovo Application Load Balancer con nuovi listener utilizzando solo le policy di sicurezza FIPS.

Console
Per aggiornare la politica di sicurezza

  1. Apri la EC2 console Amazon all'indirizzo https://console.aws.amazon.com/ec2/.

  2. Seleziona Sistemi di bilanciamento del carico nel riquadro di navigazione.

  3. Selezionare il load balancer.

  4. Nella scheda Ascoltatori e regole, seleziona il testo nella colonna Protocollo:Porta per aprire la pagina dei dettagli dell'ascoltatore.

  5. Nella scheda Sicurezza, scegli Modifica le impostazioni del listener sicuro.

  6. Nella sezione Impostazioni Secure listener, in Politica di sicurezza, scegli una nuova politica di sicurezza.

  7. Scegli Save changes (Salva modifiche).

AWS CLI
Per aggiornare la politica di sicurezza

Utilizza il comando modify-listener.

aws elbv2 modify-listener \
    --listener-arn listener-arn \
    --ssl-policy ELBSecurityPolicy-TLS13-1-2-Res-2021-06
CloudFormation
Per aggiornare la politica di sicurezza

Aggiorna la AWS::ElasticLoadBalancingV2::Listenerrisorsa con la nuova politica di sicurezza.

Resources:
  myHTTPSListener:
    Type: 'AWS::ElasticLoadBalancingV2::Listener'
    Properties: 
      LoadBalancerArn: !Ref myLoadBalancer
      Protocol: HTTPS
      Port: 443
      DefaultActions:
        - Type: "forward"
          TargetGroupArn: !Ref myTargetGroup
      SslPolicy: ELBSecurityPolicy-TLS13-1-2-2021-06
      Certificates: 
        - CertificateArn: certificate-arn

Modifica dell'intestazione HTTP

La modifica dell'intestazione HTTP consente di rinominare intestazioni specifiche generate dal load balancer, inserire intestazioni di risposta specifiche e disabilitare l'intestazione di risposta del server. Gli Application Load Balancer supportano la modifica dell'intestazione sia per le intestazioni di richiesta che per quelle di risposta.

Per ulteriori informazioni, consulta Abilita la modifica dell'intestazione HTTP per il tuo Application Load Balancer.