Wählen Sie Ihre Cookie-Einstellungen aus

Wir verwenden essentielle Cookies und ähnliche Tools, die für die Bereitstellung unserer Website und Services erforderlich sind. Wir verwenden Performance-Cookies, um anonyme Statistiken zu sammeln, damit wir verstehen können, wie Kunden unsere Website nutzen, und Verbesserungen vornehmen können. Essentielle Cookies können nicht deaktiviert werden, aber Sie können auf „Anpassen“ oder „Ablehnen“ klicken, um Performance-Cookies abzulehnen.

Wenn Sie damit einverstanden sind, verwenden AWS und zugelassene Drittanbieter auch Cookies, um nützliche Features der Website bereitzustellen, Ihre Präferenzen zu speichern und relevante Inhalte, einschließlich relevanter Werbung, anzuzeigen. Um alle nicht notwendigen Cookies zu akzeptieren oder abzulehnen, klicken Sie auf „Akzeptieren“ oder „Ablehnen“. Um detailliertere Entscheidungen zu treffen, klicken Sie auf „Anpassen“.

SSL-Zertifikate für Ihren Application Load Balancer

Fokusmodus
SSL-Zertifikate für Ihren Application Load Balancer - Elastic Load Balancing

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Wenn Sie einen sicheren Listener für Ihren Application Load Balancer erstellen, müssen Sie mindestens ein Zertifikat auf dem Load Balancer bereitstellen. Der Load Balancer erfordert X.509-Zertifikate (SSL/TLS-Serverzertifikate). Zertifikate sind eine digitale Methode zur Identifizierung. Sie werden von einer Zertifizierungsstelle (Certificate Authority, CA) ausgestellt. Ein Zertifikat enthält Identifizierungsdaten, einen Gültigkeitszeitraum, den öffentlichen Schlüssel, eine Seriennummer und die digitale Signatur des Ausstellers.

Wenn Sie ein Zertifikat zur Verwendung mit Ihrem Load Balancer erstellen, müssen Sie einen Domainnamen angeben. Der Domainname auf dem Zertifikat muss mit dem Datensatz für den benutzerdefinierten Domainnamen übereinstimmen, damit wir die TLS-Verbindung überprüfen können. Stimmen sie nicht überein, wird der Datenverkehr nicht verschlüsselt.

Sie müssen einen vollqualifizierten Domainnamen (Fully Qualified Domain Name, FQDN) für Ihr Zertifikat wie www.example.com oder einen Apex-Domainnamen wie example.com angeben. Sie können auch ein Sternchen (*) als Platzhalter verwenden, um mehrere Websitenamen in derselben Domain zu schützen. Wenn Sie ein Platzhalter-Zertifikat anfordern, muss sich das Sternchen (*) ganz links im Domainnamen befinden und es kann nur eine Subdomain-Ebene geschützt werden. *.example.com schützt beispielsweise corp.example.com und images.example.com, aber es kann test.login.example.com nicht schützen. Beachten Sie außerdem, dass *.example.com nur die Subdomains von example.com schützt, jedoch nicht die bare- oder apex-Domain (example.com). Der Platzhaltername wird im Feld Subjekt und in der Erweiterung Alternativer Subjekt-Name des ACM-Zertifikats angezeigt. Weitere Informationen zu öffentlichen Zertifikaten finden Sie unter Anfordern eines öffentlichen Zertifikats im AWS Certificate Manager Benutzerhandbuch.

Wir empfehlen, Zertifikate für Ihren Load Balancer mit AWS Certificate Manager (ACM) zu erstellen. ACM unterstützt RSA-Zertifikate mit Schlüssellängen von 2 048, 3 072 und 4 096 Bit sowie alle ECDSA-Zertifikate. ACM lässt sich in Elastic Load Balancing integrieren, sodass Sie das Zertifikat in Ihrem Load Balancer bereitstellen können. Weitere Informationen finden Sie im AWS Certificate Manager -Benutzerhandbuch.

Alternativ können Sie SSL/TLS-Tools verwenden, um eine Zertifikatsignieranforderung (CSR) zu erstellen. Anschließend können Sie die CSR von einer Zertifizierungsstelle signieren lassen, um ein Zertifikat zu erstellen. Anschließend können Sie das Zertifikat in ACM importieren oder das Zertifikat in (IAM) hochladen. AWS Identity and Access Management Weitere Informationen zum Importieren von Zertifikaten in ACM finden Sie unter Importieren von Zertifikaten im AWS Certificate Manager -Leitfaden. Weitere Informationen zum Hochladen von Zertifikaten in IAM finden Sie unter Arbeiten mit Serverzertifikaten im IAM-Benutzerhandbuch.

Standardzertifikat

Wenn Sie einen HTTPS-Listener erstellen, müssen Sie genau ein Zertifikat angeben. Dieses Zertifikat wird als Standardzertifikat bezeichnet. Sie können das Standardzertifikat ersetzen, nachdem Sie den HTTPS-Listener erstellt haben. Weitere Informationen finden Sie unter Ersetzen des Standardzertifikats.

Wenn Sie weitere Zertifikate in einer Zertifikatliste angeben, wird das Standardzertifikat nur verwendet, wenn ein Client eine Verbindung ohne SNI- (Server Name Indication)-Protokoll herstellt, um einen Hostnamen anzugeben, oder falls keine passenden Zertifikate in der Zertifikatliste gefunden werden.

Wenn Sie keine weiteren Zertifikate angeben, aber mehrere sichere Anwendungen über einen einzelnen Load Balancer hosten müssen, können Sie ein Platzhalterzertifikat verwenden oder Ihrem Zertifikat einen SAN (Subject Alternative Name) für jede weitere Domain hinzufügen.

Zertifikatliste

Nach der Erstellung eines HTTPS-Listeners verfügt dieser über ein Standardzertifikat und eine leere Zertifikatliste. Wenn Sie den Listener über erstellt haben AWS Management Console, wird das Standardzertifikat der Zertifikatsliste hinzugefügt. Optional können Sie der Zertifikatliste für den Listener Zertifikate hinzufügen. Ein Load Balancer kann dann mehrere Domains über denselben Port unterstützen und ein anderes Zertifikat für jede Domain bereitstellen. Weitere Informationen finden Sie unter Hinzufügen von Zertifikaten zu einer Zertifikatliste.

Der Load Balancer verwendet einen intelligenten Algorithmus für die Zertifikatsauswahl, bei dem SNI unterstützt wird. Wenn der von einem Client bereitgestellte Hostname nur mit einem Zertifikat in der Zertifikatliste übereinstimmt, wählt der Load Balancer das entsprechende Zertifikat aus. Wenn ein von einem Client bereitgestellter Hostname mehreren Zertifikaten in der Zertifikatliste entspricht, wählt der Load Balancer das beste vom Client unterstützte Zertifikat. Die Auswahl des Zertifikats basiert auf den folgenden Kriterien in der angegebenen Reihenfolge:

  • Algorithmus für öffentlichen Schlüssel (ECDSA gegenüber RSA bevorzugt)

  • Hashing-Algorithmus (lieber SHA als) MD5

  • Schlüssellänge (der längste Schlüssel wird bevorzugt)

  • Gültigkeitszeitraum

Die Load Balancer-Zugriffsprotokolleinträge enthalten den vom Client angegebenen Hostnamen und das dem Client präsentierte Zertifikat. Weitere Informationen finden Sie unter Zugriffsprotokolleinträge.

Zertifikatserneuerung

Jedes Zertifikat verfügt über einen Gültigkeitszeitraum. Sie müssen sicherstellen, dass Sie jedes Zertifikat für Ihren Load Balancer vor dem Ablauf des Gültigkeitszeitraum erneuern oder ersetzen. Dies schließt das Standardzertifikat und Zertifikate in der Zertifikatliste ein. Das Verlängern oder Ersetzen eines Zertifikats wirkt sich nicht auf Anforderungen aus, die bereits verarbeitet werden, von einem Load Balancer-Knoten empfangen wurden und deren Weiterleitung an ein fehlerfreies Ziel aussteht. Nachdem ein Zertifikat verlängert wurde, verwenden neue Anforderungen das verlängerte Zertifikat. Nachdem ein Zertifikat ersetzt wurde, verwenden neue Anforderungen das neue Zertifikat.

Sie können das Verlängern und Ersetzen von Zertifikaten folgendermaßen verwalten:

  • Zertifikate, die von Ihrem Load Balancer bereitgestellt AWS Certificate Manager und dort bereitgestellt werden, können automatisch erneuert werden. ACM versucht, die Zertifikate zu verlängern, bevor sie ablaufen. Weitere Informationen finden Sie unter Verwaltete Erneuerung im AWS Certificate Manager -Benutzerhandbuch.

  • Wenn Sie ein Zertifikat in ACM importiert haben, müssen Sie das Ablaufdatum des Zertifikats überwachen und es vor dem Ablauf verlängern. Weitere Informationen finden Sie unter Importieren von Zertifikaten im AWS Certificate Manager -Benutzerhandbuch.

  • Wenn Sie ein Zertifikat in IAM importiert haben, müssen Sie ein neues Zertifikat erstellen, das neue Zertifikat in ACM oder IAM importieren, es dem Load Balancer hinzufügen und das abgelaufene Zertifikat aus dem Load Balancer entfernen.

Auf dieser Seite

DatenschutzNutzungsbedingungen für die WebsiteCookie-Einstellungen
© 2025, Amazon Web Services, Inc. oder Tochtergesellschaften. Alle Rechte vorbehalten.