Elastic Load Balancing
クラシックロードバランサー

HTTPS Classic Load Balancer のリスナー

暗号化された接続で SSL/TLS プロトコルを使用するロードバランサーを作成できます (SSL オフロードとも呼ばれます)。この機能を使用することにより、ロードバランサーと HTTPS セッションを開始するクライアントとの間でトラフィックを暗号化できます。また、ロードバランサーと EC2 インスタンス間の接続でトラフィックを暗号化することもできます。

Elastic Load Balancing は、セキュリティポリシーと呼ばれる Secure Sockets Layer (SSL) ネゴシエーション構成を使用して、クライアントとロードバランサー間の接続をネゴシエートします。フロントエンド接続に HTTPS/SSL を使用する場合は、定義済みのセキュリティポリシーまたはカスタムセキュリティポリシーのどちらかを使用することができます。ロードバランサーには SSL 証明書をデプロイする必要があります。インスタンスにリクエストを送信する前に、ロードバランサーはこの証明書を使用して接続を終了し、クライアントからのリクエストを復号します。ロードバランサーは、バックエンド接続の静的暗号化スイートを使用します。オプションとしてインスタンスで認証を有効にすることもできます。

Elastic Load Balancing では、ロードバランサーの Server Name Indication (SNI) がサポートされません。代わりに、次のいずれかの代替案を使用できます。

  • 証明書を 1 つロードバランサーにデプロイし、追加のウェブサイトごとにサブジェクト代替名 (SAN) を追加します。SAN により、1 つの証明書を使用して複数のホスト名を保護できるようになります。証明書ごとにサポートされる SAN の数と SAN の追加および削除方法の詳細については、ご利用の証明書プロバイダにお問い合わせください。

  • フロントエンド接続とバックエンド接続のポート 443 で TCP リスナーを使用します。ロードバランサーは、SNI 証明書をそのままの状態にしてリクエストを渡します。EC2 インスタンスから HTTPS 終了を処理することができます。