Certificati SSL/TLS per Classic Load Balancer

Se si utilizza HTTPS (SSL o TLS) per il listener front-end, occorre distribuire un certificato SSL/TLS sul load balancer. Il load balancer utilizza il certificato per terminare la connessione e decrittografare le richieste provenienti dai client prima di inviarle alle istanze.

I protocolli SSL e TLS utilizzano un certificato X.509 (certificato del server SSL/TLS) per autenticare il client e l'applicazione back-end. Un certificato X.509 è una forma di identificazione digitale rilasciata da un'autorità di certificazione (CA) e contiene informazioni di identificazione, un periodo di validità, una chiave pubblica, un numero di serie e la firma digitale dell'emittente.

È possibile creare un certificato utilizzando AWS Certificate Manager o uno strumento che supporti i protocolli SSL e TLS, come OpenSSL. Questo certificato verrà specificato durate la creazione o l'aggiornamento di un listener HTTPS per il load balancer. Quando si crea un certificato da utilizzare con il load balancer, occorre specificare un nome di dominio.

Quando si crea un certificato da utilizzare con il load balancer, occorre specificare un nome di dominio. Il nome di dominio sul certificato deve corrispondere al record del nome di dominio personalizzato. Se non corrispondono, il traffico non verrà crittografato poiché la connessione TLS non potrà essere verificata.

È necessario specificare un nome di dominio completo (FQDN) per il certificato, ad esempio www.example.com o un nome di dominio apex, ad esempio example.com. Per proteggere diversi nomi di siti nello stesso dominio, è inoltre possibile utilizzare un asterisco (*) come carattere jolly. Quando si fa richiesta di un certificato jolly, l'asterisco (*) deve essere nella posizione più a sinistra nel nome di dominio e può proteggere solo un livello di sottodominio. Ad esempio, *.example.com protegge corp.example.com e images.example.com, ma non può proteggere test.login.example.com. Si noti inoltre come *.example.com protegga solo i sottodomini di example.com e non il dominio essenziale o apex (example.com). Il nome con il carattere jolly apparirà nel campo Oggetto e nell'estensione Nome oggetto alternativo del certificato. Per ulteriori informazioni sui certificati pubblici, consulta Richiesta di un certificato pubblico nella Guida per l'utente di AWS Certificate Manager .

Crea o importa un certificato utilizzando SSL/TLS AWS Certificate Manager

Ti consigliamo di utilizzare AWS Certificate Manager (ACM) per creare o importare certificati per il tuo sistema di bilanciamento del carico. ACM si integra con ELB in modo da poter distribuire il certificato sul sistema di bilanciamento del carico. Per implementare un certificato sul load balancer, esso deve trovarsi nella stessa regione del load balancer. Per ulteriori informazioni, consulta Richiesta di un certificato pubblico o Importazione di certificati nella Guida per l'utente di AWS Certificate Manager .

Per consentire a un utente di implementare il certificato sul sistema di bilanciamento del carico utilizzando Console di gestione AWS, occorre consentire l'accesso all'operazione dell'API ListCertificates ACM. Per ulteriori informazioni, consulta Elenco dei certificati nella Guida per l'utente di AWS Certificate Manager .

Importante

Non puoi installare certificati con chiavi RSA o chiavi CE a 4096 bit sul load balancer attraverso l'integrazione con ACM. I certificati devono essere caricati con chiavi RSA o chiavi CE a 4096 bit in IAM al fine di utilizzarli con il load balancer.

Importa un certificato utilizzando IAM SSL/TLS

Se non utilizzi ACM, puoi utilizzare SSL/TLS strumenti come OpenSSL per creare una richiesta di firma del certificato (CSR), far firmare la CSR da una CA per produrre un certificato e caricare il certificato su IAM. Per ulteriori informazioni , consulta l'argomento relativo all'utilizzo dei certificati server nella Guida per l'utente IAM.