Certificati SSL/TLS per Classic Load Balancer

Se si utilizza HTTPS (SSL o TLS) per il listener front-end, occorre distribuire un certificato SSL/TLS sul load balancer. Il load balancer utilizza il certificato per terminare la connessione e decrittografare le richieste provenienti dai client prima di inviarle alle istanze.

I protocolli SSL e TLS utilizzano un certificato X.509 (certificato del server SSL/TLS) per autenticare il client e l'applicazione back-end. Un certificato X.509 è una forma di identificazione digitale rilasciata da un'autorità di certificazione (CA) e contiene informazioni di identificazione, un periodo di validità, una chiave pubblica, un numero di serie e la firma digitale dell'emittente.

È possibile creare un certificato utilizzando AWS Certificate Manager o uno strumento che supporti i protocolli SSL e TLS, come OpenSSL. Questo certificato verrà specificato durate la creazione o l'aggiornamento di un listener HTTPS per il load balancer. Quando si crea un certificato da utilizzare con il load balancer, occorre specificare un nome di dominio.

Quando si crea un certificato da utilizzare con il load balancer, occorre specificare un nome di dominio. Il nome di dominio sul certificato deve corrispondere al record del nome di dominio personalizzato. Se non corrispondono, il traffico non verrà crittografato poiché la connessione TLS non potrà essere verificata.

È necessario specificare un nome di dominio completo (FQDN) per il certificato, ad esempio www.example.com o un nome di dominio apex, ad esempio example.com. Per proteggere diversi nomi di siti nello stesso dominio, è inoltre possibile utilizzare un asterisco (*) come carattere jolly. Quando si fa richiesta di un certificato jolly, l'asterisco (*) deve essere nella posizione più a sinistra nel nome di dominio e può proteggere solo un livello di sottodominio. Ad esempio, *.example.com protegge corp.example.com e images.example.com, ma non può proteggere test.login.example.com. Si noti inoltre come *.example.com protegga solo i sottodomini di example.com e non il dominio essenziale o apex (example.com). Il nome con il carattere jolly apparirà nel campo Oggetto e nell'estensione Nome oggetto alternativo del certificato. Per ulteriori informazioni sui certificati pubblici, consulta Richiesta di un certificato pubblico nella Guida per l'utente di AWS Certificate Manager .

Crea o importa un certificato SSL/TLS utilizzando AWS Certificate Manager

Ti consigliamo di utilizzare AWS Certificate Manager (ACM) per creare o importare certificati per il tuo sistema di bilanciamento del carico. ACM si integra con Elastic Load Balancing in modo da poter implementare il certificato sul load balancer. Per implementare un certificato sul load balancer, esso deve trovarsi nella stessa regione del load balancer. Per ulteriori informazioni, consulta Richiesta di un certificato pubblico o Importazione di certificati nella Guida per l'utente di AWS Certificate Manager .

Per consentire a un utente di implementare il certificato sul sistema di bilanciamento del carico utilizzando AWS Management Console, occorre consentire l'accesso all'operazione dell'API ListCertificates ACM. Per ulteriori informazioni, consulta Elenco dei certificati nella Guida per l'utente di AWS Certificate Manager .

Importante

Non puoi installare certificati con chiavi RSA o chiavi CE a 4096 bit sul load balancer attraverso l'integrazione con ACM. I certificati devono essere caricati con chiavi RSA o chiavi CE a 4096 bit in IAM al fine di utilizzarli con il load balancer.

Importazione di un certificato SSL/TLS con IAM

Se non stai utilizzando ACM, puoi utilizzare strumenti SSL/TLS, ad esempio OpenSSL, per creare una richiesta di firma del certificato (CSR), ottenere il CSR firmato da una CA per produrre un certificato e caricare il certificato in IAM. Per ulteriori informazioni , consulta l'argomento relativo all'utilizzo dei certificati server nella Guida per l'utente IAM.