Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Serverzertifikate für Ihren Network Load Balancer

Wenn Sie einen sicheren Listener für Ihren Network Load Balancer erstellen, müssen Sie mindestens ein Zertifikat auf dem Load Balancer bereitstellen. Der Load Balancer erfordert X.509-Zertifikate (Serverzertifikat). Zertifikate sind eine digitale Methode zur Identifizierung. Sie werden von einer Zertifizierungsstelle (Certificate Authority, CA) ausgestellt. Ein Zertifikat enthält Identifizierungsdaten, einen Gültigkeitszeitraum, den öffentlichen Schlüssel, eine Seriennummer und die digitale Signatur des Ausstellers.

Wenn Sie ein Zertifikat zur Verwendung mit Ihrem Load Balancer erstellen, müssen Sie einen Domainnamen angeben. Der Domainname auf dem Zertifikat muss mit dem Datensatz für den benutzerdefinierten Domainnamen übereinstimmen, damit wir die Verbindung überprüfen können. TLS Stimmen sie nicht überein, wird der Datenverkehr nicht verschlüsselt.

Sie müssen einen vollqualifizierten Domainnamen (FQDN) für Ihr Zertifikat angeben, z. B. www.example.com oder einen Apex-Domänennamen wieexample.com. Sie können auch ein Sternchen (*) als Platzhalter verwenden, um mehrere Websitenamen in derselben Domain zu schützen. Wenn Sie ein Platzhalter-Zertifikat anfordern, muss sich das Sternchen (*) ganz links im Domainnamen befinden und es kann nur eine Subdomain-Ebene geschützt werden. *.example.com schützt beispielsweise corp.example.com und images.example.com, aber es kann test.login.example.com nicht schützen. Beachten Sie außerdem, dass *.example.com nur die Subdomains von example.com schützt, jedoch nicht die bare- oder apex-Domain (example.com). Der Platzhaltername wird im Feld Subjekt und in der Erweiterung Alternativer Subjekt-Name des ACM-Zertifikats angezeigt. Weitere Informationen zum Anfordern öffentlicher Zertifikate finden Sie unter Anfordern eines öffentlichen Zertifikats im AWS Certificate Manager -Benutzerhandbuch.

Wir empfehlen Ihnen, Zertifikate für Ihre Load Balancer mithilfe von AWS Certificate Manager () ACM zu erstellen. ACMintegriert sich in Elastic Load Balancing, sodass Sie das Zertifikat auf Ihrem Load Balancer bereitstellen können. Weitere Informationen finden Sie im AWS Certificate Manager -Benutzerhandbuch.

Alternativ können Sie TLS Tools verwenden, um eine Zertifikatssignierungsanforderung (CSR) zu erstellen, diese dann von einer Zertifizierungsstelle CSR signieren zu lassen, um ein Zertifikat zu erstellen, und dann das Zertifikat in AWS Identity and Access Management (IAM) importieren ACM oder das Zertifikat hochladen. Weitere Informationen finden Sie unter Importieren von Zertifikaten im AWS Certificate Manager Benutzerhandbuch oder Arbeiten mit Serverzertifikaten im IAMBenutzerhandbuch.

Unterstützte Schlüsselalgorithmen

Standardzertifikat

Wenn Sie einen TLS Listener erstellen, müssen Sie genau ein Zertifikat angeben. Dieses Zertifikat wird als Standardzertifikat bezeichnet. Sie können das Standardzertifikat ersetzen, nachdem Sie den TLS Listener erstellt haben. Weitere Informationen finden Sie unter Ersetzen des Standardzertifikats.

Wenn Sie zusätzliche Zertifikate in einer Zertifikatsliste angeben, wird das Standardzertifikat nur verwendet, wenn ein Client eine Verbindung herstellt, ohne das Server Name Indication (SNI) -Protokoll zur Angabe eines Hostnamens zu verwenden, oder wenn die Zertifikatsliste keine passenden Zertifikate enthält.

Wenn Sie keine zusätzlichen Zertifikate angeben, aber mehrere sichere Anwendungen über einen einzigen Load Balancer hosten müssen, können Sie ein Platzhalterzertifikat verwenden oder Ihrem Zertifikat für jede weitere Domäne einen alternativen Betreffnamen (SAN) hinzufügen.

Zertifikatliste

Nachdem Sie einen TLS Listener erstellt haben, hat er ein Standardzertifikat und eine leere Zertifikatsliste. Optional können Sie der Zertifikatliste für den Listener Zertifikate hinzufügen. Ein Load Balancer kann dann mehrere Domains über denselben Port unterstützen und ein anderes Zertifikat für jede Domain bereitstellen. Weitere Informationen finden Sie unter Hinzufügen von Zertifikaten zu einer Zertifikatliste.

Der Load Balancer verwendet einen intelligenten Algorithmus zur Zertifikatsauswahl mit Unterstützung für. SNI Wenn der von einem Client bereitgestellte Hostname nur mit einem Zertifikat in der Zertifikatliste übereinstimmt, wählt der Load Balancer das entsprechende Zertifikat aus. Wenn ein von einem Client bereitgestellter Hostname mehreren Zertifikaten in der Zertifikatliste entspricht, wählt der Load Balancer das beste vom Client unterstützte Zertifikat. Die Auswahl des Zertifikats basiert auf den folgenden Kriterien in der angegebenen Reihenfolge:

Die Load Balancer-Zugriffsprotokolleinträge enthalten den vom Client angegebenen Hostnamen und das dem Client präsentierte Zertifikat. Weitere Informationen finden Sie unter Zugriffsprotokolleinträge.

Zertifikatserneuerung

Jedes Zertifikat verfügt über einen Gültigkeitszeitraum. Sie müssen sicherstellen, dass Sie jedes Zertifikat für Ihren Load Balancer vor dem Ablauf des Gültigkeitszeitraum erneuern oder ersetzen. Dies schließt das Standardzertifikat und Zertifikate in der Zertifikatliste ein. Das Verlängern oder Ersetzen eines Zertifikats wirkt sich nicht auf Anforderungen aus, die bereits verarbeitet werden, von einem Load Balancer-Knoten empfangen wurden und deren Weiterleitung an ein fehlerfreies Ziel aussteht. Nachdem ein Zertifikat verlängert wurde, verwenden neue Anforderungen das verlängerte Zertifikat. Nachdem ein Zertifikat ersetzt wurde, verwenden neue Anforderungen das neue Zertifikat.

Sie können das Verlängern und Ersetzen von Zertifikaten folgendermaßen verwalten: