Crear un oyente HTTPS para el equilibrador de carga de aplicaciones - Elastic Load Balancing
Requisitos previosAgregar un oyente HTTPS

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Crear un oyente HTTPS para el equilibrador de carga de aplicaciones

Un oyente verifica solicitudes de conexión. Los oyentes se definen cuando se crea el equilibrador de carga, pero se pueden agregar otros oyentes en cualquier momento.

Para crear un oyente de HTTPS, debe implementar al menos un certificado de servidor SSL en el equilibrador de carga. El equilibrador de carga utiliza un certificado de servidor para terminar la conexión frontend y descifrar las solicitudes de los clientes antes de enviarlas a los destinos. Debe especificar también la política de seguridad que se utiliza para negociar las conexiones seguras entre los clientes y el equilibrador de carga.

Si necesita pasar tráfico cifrado a los destinos sin que el equilibrador de carga lo descifre, se puede crear un Equilibrador de carga de red o un Equilibrador de carga clásico con un oyente TCP en el puerto 443. Con un oyente TCP, el equilibrador de carga transfiere el tráfico cifrado a los destinos sin descifrarlo.

La información de esta página le ayuda a crear un oyente HTTPS para su equilibrador de carga. Para agregar un oyente HTTPS a un equilibrador de carga, consulte Crear un oyente HTTP para su equilibrador de carga de aplicaciones.

Requisitos previos

  • Para crear un oyente HTTPS, debe especificar un certificado y una política de seguridad. El equilibrador de carga usará el certificado para terminar la conexión y descifrar las solicitudes de los clientes antes de direccionarlas a los destinos. El equilibrador de carga utiliza la política de seguridad para negociar conexiones SSL con los clientes.

    Los balanceadores de carga de aplicaciones no admiten claves. ED25519

  • Para añadir una acción de reenvío a la regla predeterminada del oyente, debe especificar un grupo de destino disponible. Para obtener más información, consulte Creación de un grupo de destino para el Equilibrador de carga de aplicación.

  • Puede especificar el mismo grupo de destino en varios oyentes, pero estos deben pertenecer al mismo equilibrador de carga. Para usar un grupo de destino con un equilibrador de carga, debe comprobar que un oyente no lo use para ningún otro equilibrador de carga.

Agregar un oyente HTTPS

Los oyentes se configuran con un protocolo y un puerto para las conexiones entre los clientes y el equilibrador de carga, así como un grupo de destino para la regla predeterminada del oyente. Para obtener más información, consulte Configuración del oyente.

Cómo agregar un oyente HTTPS mediante la consola

  1. Abre la EC2 consola de Amazon en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación, seleccione Load Balancers.

  3. Seleccione el equilibrador de carga.

  4. En la pestaña Oyentes y reglas, seleccione Añadir oyente.

  5. En Protocolo: puerto, elija HTTP y mantenga el puerto predeterminado o introduzca un puerto distinto.

  6. (Opcional) Para activar la autenticación, en Autenticación, seleccione Usar OpenID o Amazon Cognito y proporcione la información solicitada. Para obtener más información, consulte Autenticación de usuarios mediante un Equilibrador de carga de aplicación.

  7. En Default actions (Acciones predeterminadas), realice una de las operaciones siguientes:

    • Reenviar a los grupos de destino: seleccione uno o más grupos de destino a los que reenviar el tráfico. Para añadir grupos de destino, seleccione Añadir grupo de destino. Si utiliza más de un grupo de destino, seleccione una ponderación para cada uno y revise el porcentaje asociado. Debe habilitar la persistencia a nivel de grupo en una regla, si se activó la persistencia en uno o más de los grupos de destino.

    • Redirigir a la URL: especifique la URL a la que se redirigirán las solicitudes de los clientes. Esto se puede hacer al introducir cada parte por separado en la pestaña partes de la URI o al ingrsear la dirección completa en la pestaña URL completa. Puede configurar las acciones de redirección como temporales (HTTP 302) o permanentes (HTTP 301), en función de sus necesidades para Código de estado.

    • Devolver una respuesta fija: especifique el código de respuesta que se devolverá a las solicitudes de los clientes rechazadas. Además, puede especificar el tipo de contenido y el cuerpo de la respuesta, pero no son obligatorios.

  8. Para la política de seguridad, se recomienda utilizar siempre la política de seguridad predefinida más reciente.

  9. En Certificado SSL/TLS predeterminado están disponibles las siguientes opciones:

    • Si creó o importó un certificado utilizando AWS Certificate Manager, seleccione De ACM y, a continuación, seleccione el certificado en Seleccionar un certificado.

    • Si ha importado un certificado mediante IAM, seleccione Desde IAM y, a continuación, seleccione el certificado en Seleccionar un certificado.

    • Si tiene un certificado para importar pero ACM no está disponible en su región, seleccione Importar y, a continuación, A IAM. Escriba el nombre del certificado en el campo Nombre del certificado. En Clave privada del certificado, copie y pegue el contenido del archivo de clave privada (con codificación PEM). En Cuerpo del certificado, copie y pegue el contenido del archivo de certificado de clave pública (con codificación PEM). En Cadena del certificado, copie y pegue el contenido del archivo de cadena del certificado (con codificación PEM), a no ser que utilice un certificado autofirmado y no sea importante que los navegadores acepten implícitamente dicho certificado.

  10. (Opcional) Para habilitar la autenticación mutua, en Gestión de certificados de cliente, habilite la Autenticación mutua (mTLS).

    Cuando está activado, el modo TLS mutuo predeterminado es de acceso directo.

    Si selecciona Verificar con el almacén de confianza:

    • De forma predeterminada, se rechazan las conexiones con certificados de cliente vencidos. Para cambiar este comportamiento, abra la configuración avanzada de mTLS y, en Caducidad del certificado de cliente, seleccione Permitir certificados de cliente caducados.

    • En Almacén de confianza, seleccione un almacén de confianza existente o elija Nuevo almacén de confianza.

      • Si ha elegido un nuevo almacén de confianza, proporcione un nombre de almacén de confianza, la ubicación de la entidad de certificación URI S3 y, si lo desea, una ubicación en la lista de revocaciones de certificados URI S3.

    • (Opcional) Elija si desea activar la publicidad de los nombres de asunto de TrustStore CA.

  11. Seleccione Guardar.

Para añadir un agente de escucha HTTPS mediante el AWS CLI

Utilice el comando create-oyente para crear el oyente y la regla predeterminada, y el comando create-rule para definir nuevas reglas del oyente.