Aggiornamento della configurazione di negoziazione SSL mediante la console Aggiorna la configurazione di negoziazione SSL utilizzando il AWS CLI

Aggiornamento della configurazione di negoziazione SSL di Classic Load Balancer

Elastic Load Balancing fornisce policy di sicurezza predefinite che dispongono di configurazioni di negoziazione SSL predefinite da utilizzare per negoziare connessioni SSL tra i client e il load balancer. Se stai utilizzando il protocollo HTTPS/SSL per il listener, puoi usare una delle policy di sicurezza predefinite oppure la policy di sicurezza personalizzata.

Per ulteriori informazioni sulle policy di sicurezza, consulta Configurazioni della negoziazione SSL per Classic Load Balancer. Per informazioni sulle configurazioni delle policy di sicurezza fornite da Elastic Load Balancing, consulta Policy di sicurezza SSL predefinite.

Se crei un listener HTTPS/SSL senza associarvi una policy di sicurezza, Elastic Load Balancing associa le policy di sicurezza predefinita, ELBSecurityPolicy-2016-08, con il load balancer.

Se disponi già di un sistema di bilanciamento del carico con una configurazione di negoziazione SSL che non utilizza i protocolli e le cifrature più recenti, ti consigliamo di aggiornare il sistema di bilanciamento del carico per utilizzare ELB -2016-08. SecurityPolicy Se preferisci, puoi creare una configurazione personalizzata. Ti consigliamo di testare le nuove policy di sicurezza prima di aggiornare la configurazione del load balancer.

I seguenti esempi illustrano come aggiornare la configurazione di negoziazione SSL per un listener HTTPS/SSL. Nota che la modifica non influenza le richieste che erano state ricevute da un nodo del load balancer e che sono in attesa del routing a un'istanza integra, ma la configurazione aggiornata verrà utilizzata con le nuove richieste ricevute.

Indice

Aggiornamento della configurazione di negoziazione SSL mediante la console
Aggiorna la configurazione di negoziazione SSL utilizzando il AWS CLI

Aggiornamento della configurazione di negoziazione SSL mediante la console

Per impostazione predefinita, Elastic Load Balancing associa le policy predefinite più recenti al tuo load balancer. Quando una nuova policy predefinita viene aggiunta, è consigliabile aggiornare il load balancer in modo che utilizzi la nuova policy predefinita. In alternativa, puoi selezionare un'altra policy di sicurezza predefinita oppure creare una policy personalizzata.

Per aggiornare la configurazione di negoziazione SSL per un bilanciatore del carico HTTPS/SSL utilizzando la console

Apri la console Amazon EC2 all'indirizzo https://console.aws.amazon.com/ec2/.
Nel pannello di navigazione, sotto Bilanciamento del carico, scegli Sistemi di bilanciamento del carico.
Scegli il nome del sistema di bilanciamento del carico per aprirne la pagina dei dettagli.
Nella scheda Listener, scegli Gestisci ascoltatori.
Nella pagina Gestisci ascoltatori, individua l'ascoltatore da aggiornare, scegli Modifica in Policy di sicurezza e seleziona una policy di sicurezza utilizzando una delle seguenti opzioni:
- (Consigliato) Mantieni la politica predefinita, ELB SecurityPolicy -2016-08, quindi scegli Salva modifiche.
- Seleziona una policy predefinita diversa da quella di default, quindi scegli Salva modifiche.
- Seleziona Personalizzato e abilita almeno un protocollo e una crittografia come segue:
  1. Per SSL Protocols (Protocolli SSL), seleziona uno o più protocolli da abilitare.
  2. Per SSL Options (Opzioni SSL), seleziona Server Order Preference (Preferenza ordine server) per utilizzare l'ordine elencato nelle Policy di sicurezza SSL predefinite per la negoziazione SSL.
  3. Per SSL Ciphers (Crittografie SSL), seleziona uno o più crittografie da abilitare. Se si dispone già di un certificato SSL, occorre abilitare la crittografia che è stata utilizzata per creare il certificato, perché le crittografie DSA e RSA sono specifiche dell'algoritmo di firma.
  4. Seleziona Salvataggio delle modifiche.

Aggiorna la configurazione di negoziazione SSL utilizzando il AWS CLI

Puoi utilizzare la policy di sicurezza predefinita di default, ELBSecurityPolicy-2016-08, una policy di sicurezza predefinita diversa oppure una policy di sicurezza personalizzata.

Per usare una policy di sicurezza SSL predefinita

Usa il describe-load-balancer-policiescomando seguente per elencare le politiche di sicurezza predefinite fornite da Elastic Load Balancing. La sintassi utilizzata dipende dal sistema operativo e dalla shell in uso.

Linux


aws elb describe-load-balancer-policies --query 'PolicyDescriptions[?PolicyTypeName==`SSLNegotiationPolicyType`].{PolicyName:PolicyName}' --output table

Windows


aws elb describe-load-balancer-policies --query "PolicyDescriptions[?PolicyTypeName==`SSLNegotiationPolicyType`].{PolicyName:PolicyName}" --output table

Di seguito è riportato un output di esempio:


------------------------------------------
|      DescribeLoadBalancerPolicies      |
+----------------------------------------+
|               PolicyName               |
+----------------------------------------+
|  ELBSecurityPolicy-2016-08             |
|  ELBSecurityPolicy-TLS-1-2-2017-01     |
|  ELBSecurityPolicy-TLS-1-1-2017-01     |
|  ELBSecurityPolicy-2015-05             |
|  ELBSecurityPolicy-2015-03             |
|  ELBSecurityPolicy-2015-02             |
|  ELBSecurityPolicy-2014-10             |
|  ELBSecurityPolicy-2014-01             |
|  ELBSecurityPolicy-2011-08             |
|  ELBSample-ELBDefaultCipherPolicy      |
|  ELBSample-OpenSSLDefaultCipherPolicy  |
+----------------------------------------+

Per determinare quali crittografie sono abilitate per una policy, utilizzare il comando seguente:


aws elb describe-load-balancer-policies --policy-names ELBSecurityPolicy-2016-08 --output table

Per informazioni sula configurazione delle policy di sicurezza predefinite, consulta Policy di sicurezza SSL predefinite.

Utilizzate il create-load-balancer-policycomando per creare una politica di negoziazione SSL utilizzando una delle politiche di sicurezza predefinite descritte nel passaggio precedente. Ad esempio, il comando seguente utilizza la policy di sicurezza predefinita di default:
```
aws elb create-load-balancer-policy --load-balancer-name my-loadbalancer
--policy-name my-SSLNegotiation-policy  --policy-type-name SSLNegotiationPolicyType
--policy-attributes AttributeName=Reference-Security-Policy,AttributeValue=ELBSecurityPolicy-2016-08
```
Se superi il limite del numero di policy per il load balancer, usa il delete-load-balancer-policycomando per eliminare tutte le politiche non utilizzate.
(Facoltativo) Utilizzate il seguente describe-load-balancer-policiescomando per verificare che la policy sia stata creata:
```
aws elb describe-load-balancer-policies --load-balancer-name my-loadbalancer --policy-name my-SSLNegotiation-policy
```
La risposta include la descrizione della policy.
Utilizzate il seguente comando set-load-balancer-policies-of-listener per abilitare la policy sulla porta 443 di load balancer:
```
aws elb set-load-balancer-policies-of-listener --load-balancer-name my-loadbalancer --load-balancer-port 443 --policy-names my-SSLNegotiation-policy
```
Nota
Il comando set-load-balancer-policies-of-listener sostituisce l'insieme di policy corrente per la porta del load balancer specificata con l'insieme di policy specificato. L'elenco --policy-names deve includere tutte le policy da abilitare. Se si omette una policy attualmente abilitata, questa viene disabilitata.

(Facoltativo) Utilizzate il seguente describe-load-balancerscomando per verificare che la nuova policy sia abilitata per la porta di bilanciamento del carico:


aws elb describe-load-balancers --load-balancer-name my-loadbalancer

La risposta mostra che la policy è abilitata sulla porta 443.


...
  {
      "Listener": {
          "InstancePort": 443,
          "SSLCertificateId": "ARN",
          "LoadBalancerPort": 443,
          "Protocol": "HTTPS",
          "InstanceProtocol": "HTTPS"
      },
      "PolicyNames": [
          "my-SSLNegotiation-policy"
      ]
  }
...

Quando si crea una policy di sicurezza personalizzata, occorre abilitare almeno un protocollo e una crittografia. Le crittografie DSA e RSA sono specifiche dell'algoritmo di firma e sono utilizzate per creare il certificato SSL. Se disponi già di un certificato SSL, assicurati di abilitare la crittografia che è stata utilizzata per creare il certificato. Il nome della policy personalizzata non deve iniziare con ELBSecurityPolicy- o ELBSample-, poiché questi prefissi sono prenotati per i nomi delle policy di sicurezza predefinite.

Per usare una policy di sicurezza SSL personalizzata

Utilizzate il create-load-balancer-policycomando per creare una politica di negoziazione SSL utilizzando una politica di sicurezza personalizzata. Per esempio:


aws elb create-load-balancer-policy --load-balancer-name my-loadbalancer 
 --policy-name my-SSLNegotiation-policy --policy-type-name SSLNegotiationPolicyType 
 --policy-attributes AttributeName=Protocol-TLSv1.2,AttributeValue=true 
 AttributeName=Protocol-TLSv1.1,AttributeValue=true 
 AttributeName=DHE-RSA-AES256-SHA256,AttributeValue=true 
 AttributeName=Server-Defined-Cipher-Order,AttributeValue=true

Se superi il limite del numero di policy per il load balancer, usa il delete-load-balancer-policycomando per eliminare tutte le politiche non utilizzate.

(Facoltativo) Utilizzate il seguente describe-load-balancer-policiescomando per verificare che la policy sia stata creata:
```
aws elb describe-load-balancer-policies --load-balancer-name my-loadbalancer --policy-name my-SSLNegotiation-policy
```
La risposta include la descrizione della policy.
Utilizzate il seguente comando set-load-balancer-policies-of-listener per abilitare la policy sulla porta 443 di load balancer:
```
aws elb set-load-balancer-policies-of-listener --load-balancer-name my-loadbalancer --load-balancer-port 443 --policy-names my-SSLNegotiation-policy
```
Nota
Il comando set-load-balancer-policies-of-listener sostituisce l'insieme di policy corrente per la porta del load balancer specificata con l'insieme di policy specificato. L'elenco --policy-names deve includere tutte le policy da abilitare. Se si omette una policy attualmente abilitata, questa viene disabilitata.

(Facoltativo) Utilizzate il seguente describe-load-balancerscomando per verificare che la nuova policy sia abilitata per la porta di bilanciamento del carico:


aws elb describe-load-balancers --load-balancer-name my-loadbalancer

La risposta mostra che la policy è abilitata sulla porta 443.


...
  {
      "Listener": {
          "InstancePort": 443,
          "SSLCertificateId": "ARN",
          "LoadBalancerPort": 443,
          "Protocol": "HTTPS",
          "InstanceProtocol": "HTTPS"
      },
      "PolicyNames": [
          "my-SSLNegotiation-policy"
      ]
  }
...

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Sostituzione del certificato SSL

Configura il tuo load balancer