As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Atualizar a configuração de negociação SSL do seu Classic Load Balancer
O Elastic Load Balancing fornece políticas de segurança que têm configurações de negociação SSL predefinidas para serem usadas na negociação de conexões SSL entre os clientes e o seu balanceador de carga. Se você estiver usando o protocolo HTTPS/SSL para seu listener, pode usar uma das políticas de segurança predefinidas ou usar a sua própria política de segurança personalizada.
Para obter mais informações sobre as políticas de segurança, consulte Configurações de negociação SSL para balanceadores de carga clássicos. Para obter informações sobre as configurações das políticas de segurança fornecidas pelo Elastic Load Balancing, consulte Políticas de segurança SSL predefinidas.
Se você criar um listener HTTPS/SSL sem associar uma política de segurança, o Elastic Load Balancing associará a política de segurança predefinida padrão, ELBSecurityPolicy-2016-08, a seu balanceador de carga.
Se você tiver um balanceador de carga existente com uma configuração de negociação SSL que não usa os protocolos e cifras mais recentes, recomendamos que você atualize seu balanceador de carga para usar o ELB -2016-08. SecurityPolicy Se você preferir, pode criar uma configuração personalizada. Recomendamos enfaticamente que você teste as novas políticas de segurança antes de atualizar a configuração do seu load balancer.
Os exemplos a seguir mostram como atualizar a configuração de negociação SSL para um listener HTTPS/SSL. Observe que a alteração não afeta as solicitações recebidas por um nó do load balancer e são pendentes de roteamento para uma instância íntegra, mas a configuração atualizada será usada com as novas solicitações recebidas.
Conteúdo
Atualizar a configuração da negociação SSL usando o console
Por padrão, o Elastic Load Balancing associa a política predefinida mais recente a seu balanceador de carga. Quando uma nova política predefinida é adicionada, recomendamos que você atualize o load balancer para usar a nova política predefinida. Você também pode selecionar uma política de segurança predefinida diferente ou criar uma política personalizada.
Para atualizar a configuração de negociação SSL para um balanceador de carga HTTPS/SSL usando o console
Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/
. -
No painel de navegação, em Load Balancing (Balanceamento de carga), escolha Load balancers (Balanceadores de carga).
-
Escolha o nome do balanceador de carga para abrir sua página de detalhes.
-
Na guia Receptores, escolha Gerenciar receptores.
-
Na página Gerenciar receptores, localize o receptor a ser atualizado, escolha Editar em Política de segurança e selecione uma política de segurança usando uma das seguintes opções:
-
(Recomendado) Mantenha a política padrão, ELB SecurityPolicy -2016-08, e escolha Salvar alterações.
-
Selecione uma política predefinida diferente do padrão e escolha Salvar alterações.
-
Selecione Personalizar e habilite pelo menos um protocolo e uma cifra, da seguinte forma:
-
Em Protocolos SSL, selecione um ou mais protocolos para habilitar.
-
Em Opções SSL, selecione Preferência de ordem de servidor para usar a ordem listada na Políticas de segurança SSL predefinidas para negociação SSL.
-
Em Cifras SSL, selecione uma ou mais cifras para habilitar. Se você já tiver um certificado SSL, deverá habilitar a cifra usada para criar o certificado, pois as cifras DSA e RSA são específicas do algoritmo de assinatura.
-
Escolha Salvar alterações.
-
-
Atualize a configuração de negociação SSL usando o AWS CLI
Você pode usar a política de segurança predefinida padrão, ELBSecurityPolicy-2016-08, uma política de segurança predefinida diferente ou uma política de segurança personalizada.
Para usar uma política de segurança SSL predefinida
-
Use o describe-load-balancer-policiescomando a seguir para listar as políticas de segurança predefinidas fornecidas pelo Elastic Load Balancing. A sintaxe a ser usada dependerá do sistema operacional e do shell em uso.
Linux
aws elb describe-load-balancer-policies --query 'PolicyDescriptions[?PolicyTypeName==`SSLNegotiationPolicyType`].{PolicyName:PolicyName}' --output tableWindows
aws elb describe-load-balancer-policies --query "PolicyDescriptions[?PolicyTypeName==`SSLNegotiationPolicyType`].{PolicyName:PolicyName}" --output tableA seguir está um exemplo de saída:
------------------------------------------ | DescribeLoadBalancerPolicies | +----------------------------------------+ | PolicyName | +----------------------------------------+ | ELBSecurityPolicy-2016-08 | | ELBSecurityPolicy-TLS-1-2-2017-01 | | ELBSecurityPolicy-TLS-1-1-2017-01 | | ELBSecurityPolicy-2015-05 | | ELBSecurityPolicy-2015-03 | | ELBSecurityPolicy-2015-02 | | ELBSecurityPolicy-2014-10 | | ELBSecurityPolicy-2014-01 | | ELBSecurityPolicy-2011-08 | | ELBSample-ELBDefaultCipherPolicy | | ELBSample-OpenSSLDefaultCipherPolicy | +----------------------------------------+Para determinar quais cifras estão habilitadas para uma política, use o seguinte comando:
aws elb describe-load-balancer-policies --policy-namesELBSecurityPolicy-2016-08--output tablePara obter informações sobre a configuração das políticas de segurança predefinidas, consulte Políticas de segurança SSL predefinidas.
-
Use o create-load-balancer-policycomando para criar uma política de negociação SSL usando uma das políticas de segurança predefinidas que você descreveu na etapa anterior. Por exemplo, o comando a seguir usa a política de segurança predefinida padrão:
aws elb create-load-balancer-policy --load-balancer-namemy-loadbalancer--policy-namemy-SSLNegotiation-policy--policy-type-name SSLNegotiationPolicyType --policy-attributes AttributeName=Reference-Security-Policy,AttributeValue=ELBSecurityPolicy-2016-08Se você exceder o limite do número de políticas para o balanceador de carga, use o delete-load-balancer-policycomando para excluir as políticas não utilizadas.
-
(Opcional) Use o describe-load-balancer-policiescomando a seguir para verificar se a política foi criada:
aws elb describe-load-balancer-policies --load-balancer-namemy-loadbalancer--policy-namemy-SSLNegotiation-policyA resposta inclui a descrição da política.
-
Use o seguinte comando set-load-balancer-policies-of-listener para habilitar a política na porta 443 do balanceador de carga:
aws elb set-load-balancer-policies-of-listener --load-balancer-namemy-loadbalancer--load-balancer-port 443 --policy-namesmy-SSLNegotiation-policynota
O comando
set-load-balancer-policies-of-listenersubstitui o conjunto atual de políticas para a porta especificada do load balancer pelo conjunto de políticas especificado. A lista--policy-namesdeve incluir todas as políticas para ser habilitada. Se você pular uma política que atualmente está ativada, ela será desativada. -
(Opcional) Use o describe-load-balancerscomando a seguir para verificar se a nova política está habilitada para a porta do balanceador de carga:
aws elb describe-load-balancers --load-balancer-namemy-loadbalancerA resposta mostra que a política está habilitada na porta 443.
... { "Listener": { "InstancePort": 443, "SSLCertificateId": "ARN", "LoadBalancerPort": 443, "Protocol": "HTTPS", "InstanceProtocol": "HTTPS" }, "PolicyNames": [ "my-SSLNegotiation-policy" ] } ...
Quando você cria uma política de segurança personalizada, deve habilitar pelo menos um protocolo e uma cifra. Cifras DSA e RSA são específicas do algoritmo de assinatura e são usadas para criar o certificado SSL. Se você já tiver um certificado SSL, ative a cifra que foi usada para criar o certificado. O nome da sua política personalizada não deve começar com ELBSecurityPolicy- ou ELBSample-, pois esses prefixos são reservados para os nomes das políticas de segurança predefinidas.
Para usar uma política de segurança SSL personalizada
-
Use o create-load-balancer-policycomando para criar uma política de negociação SSL usando uma política de segurança personalizada. Por exemplo: .
aws elb create-load-balancer-policy --load-balancer-namemy-loadbalancer--policy-namemy-SSLNegotiation-policy--policy-type-name SSLNegotiationPolicyType --policy-attributes AttributeName=Protocol-TLSv1.2,AttributeValue=true AttributeName=Protocol-TLSv1.1,AttributeValue=true AttributeName=DHE-RSA-AES256-SHA256,AttributeValue=true AttributeName=Server-Defined-Cipher-Order,AttributeValue=trueSe você exceder o limite do número de políticas para o balanceador de carga, use o delete-load-balancer-policycomando para excluir as políticas não utilizadas.
-
(Opcional) Use o describe-load-balancer-policiescomando a seguir para verificar se a política foi criada:
aws elb describe-load-balancer-policies --load-balancer-namemy-loadbalancer--policy-namemy-SSLNegotiation-policyA resposta inclui a descrição da política.
-
Use o seguinte comando set-load-balancer-policies-of-listener para habilitar a política na porta 443 do balanceador de carga:
aws elb set-load-balancer-policies-of-listener --load-balancer-namemy-loadbalancer--load-balancer-port 443 --policy-namesmy-SSLNegotiation-policynota
O comando
set-load-balancer-policies-of-listenersubstitui o conjunto atual de políticas para a porta especificada do load balancer pelo conjunto de políticas especificado. A lista--policy-namesdeve incluir todas as políticas para ser habilitada. Se você pular uma política que atualmente está ativada, ela será desativada. -
(Opcional) Use o describe-load-balancerscomando a seguir para verificar se a nova política está habilitada para a porta do balanceador de carga:
aws elb describe-load-balancers --load-balancer-namemy-loadbalancerA resposta mostra que a política está habilitada na porta 443.
... { "Listener": { "InstancePort": 443, "SSLCertificateId": "ARN", "LoadBalancerPort": 443, "Protocol": "HTTPS", "InstanceProtocol": "HTTPS" }, "PolicyNames": [ "my-SSLNegotiation-policy" ] } ...
