Mettez à jour la configuration de SSL négociation de votre Classic Load Balancer - Elastic Load Balancing
Mettre à jour la configuration de SSL négociation à l'aide de la consoleMettez à jour la configuration de SSL négociation à l'aide du AWS CLI

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Mettez à jour la configuration de SSL négociation de votre Classic Load Balancer

Elastic Load Balancing fournit des politiques de sécurité comportant des configurations de SSL négociation prédéfinies à utiliser pour négocier SSL les connexions entre les clients et votre équilibreur de charge. Si vous utilisez le SSL protocoleHTTPS/pour votre écouteur, vous pouvez utiliser l'une des politiques de sécurité prédéfinies ou utiliser votre propre politique de sécurité personnalisée.

Pour plus d'informations sur les stratégies de sécurité, consultez SSLconfigurations de négociation pour les équilibreurs de charge classiques. Pour plus d'informations sur les configurations des politiques de sécurité fournies par Elastic Load Balancing, consultez Politiques SSL de sécurité prédéfinies pour les équilibreurs de charge classiques.

Si vous créez unHTTPS/SSLlistener sans associer de politique de sécurité, Elastic Load Balancing associe la politique de sécurité prédéfinie par défaut à votre équilibreur de charge. ELBSecurityPolicy-2016-08

Si vous préférez, vous pouvez créer une configuration personnalisée. Nous vous recommandons vivement de tester votre politique de sécurité avant de mettre à niveau la configuration de votre équilibreur de charge.

Les exemples suivants vous montrent comment mettre à jour la configuration de SSL négociation pour unHTTPS/SSLlistener. Notez que la modification n'affecte pas les demandes reçues par un nœud d'équilibreur de charge et qui sont en attente de routage vers une instance saine ; la configuration mise à jour sera utilisée avec les nouvelles demandes reçues.

Mettre à jour la configuration de SSL négociation à l'aide de la console

Par défaut, Elastic Load Balancing associe la dernière politique prédéfinie à votre équilibreur de charge. Lorsqu'une nouvelle stratégie prédéfinie est ajoutée, nous vous recommandons de mettre à jour votre équilibreur de charge pour utiliser la nouvelle stratégie prédéfinie. Vous pouvez également sélectionner une autre stratégie de sécurité prédéfinie ou créer une stratégie personnalisée.

Pour mettre à jour SSL la configuration de négociation d'un équilibreur de SSL chargeHTTPS/à l'aide de la console

  1. Ouvrez la EC2 console Amazon à l'adresse https://console.aws.amazon.com/ec2/.

  2. Dans le panneau de navigation, sous Load Balancing (Équilibrage de charge), choisissez Load Balancers (Équilibreurs de charge).

  3. Choisissez le nom de l'équilibreur de charge afin d'ouvrir sa page détaillée.

  4. Sous l'onglet Listeners, choisissez Manage listeners.

  5. Sur la page Manage listeners, localisez l'écouteur à mettre à jour, choisissez Edit sous Security policy sélectionnez une stratégie de sécurité à l'aide de l'une des options suivantes :

    • Conservez la politique par défaut, ELBSecurityPolicy-2016-08, puis choisissez Enregistrer les modifications.

    • Sélectionnez une stratégie prédéfinie autre que celle par défaut, puis choisissez Save changes.

    • Sélectionnez Custom et activez au moins un protocole et un chiffrement comme suit :

      1. Pour SSLProtocoles, sélectionnez un ou plusieurs protocoles à activer.

      2. Dans SSLOptions, sélectionnez Préférence d'ordre du serveur pour utiliser l'ordre indiqué dans le Politiques SSL de sécurité prédéfinies pour les équilibreurs de charge classiques formulaire de SSL négociation.

      3. Pour les SSLchiffrements, sélectionnez un ou plusieurs chiffrements à activer. Si vous possédez déjà un SSL certificat, vous devez activer le chiffrement qui a été utilisé pour créer le certificat, car DSA les RSA chiffrements sont spécifiques à l'algorithme de signature.

      4. Sélectionnez Enregistrer les modifications.

Mettez à jour la configuration de SSL négociation à l'aide du AWS CLI

Vous pouvez utiliser la stratégie de sécurité prédéfinie par défaut, ELBSecurityPolicy-2016-08, une autre stratégie de sécurité prédéfinie ou une stratégie de sécurité personnalisée.

Pour utiliser une politique de SSL sécurité prédéfinie

  1. Utilisez la describe-load-balancer-policiescommande suivante pour répertorier les politiques de sécurité prédéfinies fournies par Elastic Load Balancing. La syntaxe que vous utilisez dépend du système d'exploitation et du shell que vous utilisez.

    Linux

    aws elb describe-load-balancer-policies --query 'PolicyDescriptions[?PolicyTypeName==`SSLNegotiationPolicyType`].{PolicyName:PolicyName}' --output table

    Windows

    aws elb describe-load-balancer-policies --query "PolicyDescriptions[?PolicyTypeName==`SSLNegotiationPolicyType`].{PolicyName:PolicyName}" --output table

    Voici un exemple de sortie :

    ------------------------------------------
|      DescribeLoadBalancerPolicies      |
+----------------------------------------+
|               PolicyName               |
+----------------------------------------+
|  ELBSecurityPolicy-2016-08             |
|  ELBSecurityPolicy-TLS-1-2-2017-01     |
|  ELBSecurityPolicy-TLS-1-1-2017-01     |
|  ELBSecurityPolicy-2015-05             |
|  ELBSecurityPolicy-2015-03             |
|  ELBSecurityPolicy-2015-02             |
|  ELBSecurityPolicy-2014-10             |
|  ELBSecurityPolicy-2014-01             |
|  ELBSecurityPolicy-2011-08             |
|  ELBSample-ELBDefaultCipherPolicy      |
|  ELBSample-OpenSSLDefaultCipherPolicy  |
+----------------------------------------+

    Pour déterminer quels chiffrements sont activés pour une stratégie, utilisez la commande suivante :

    aws elb describe-load-balancer-policies --policy-names ELBSecurityPolicy-2016-08 --output table

    Pour plus d'informations sur la configuration des stratégies de sécurité prédéfinies, consultez Politiques SSL de sécurité prédéfinies pour les équilibreurs de charge classiques.

  2. Utilisez la create-load-balancer-policycommande pour créer une politique de SSL négociation à l'aide de l'une des politiques de sécurité prédéfinies décrites à l'étape précédente. Par exemple, la commande suivante utilise la stratégie de sécurité prédéfinie par défaut :

    aws elb create-load-balancer-policy --load-balancer-name my-loadbalancer
--policy-name my-SSLNegotiation-policy  --policy-type-name SSLNegotiationPolicyType
--policy-attributes AttributeName=Reference-Security-Policy,AttributeValue=ELBSecurityPolicy-2016-08

    Si vous dépassez la limite du nombre de politiques pour l'équilibreur de charge, utilisez la delete-load-balancer-policycommande pour supprimer les politiques non utilisées.

  3. (Facultatif) Utilisez la describe-load-balancer-policiescommande suivante pour vérifier que la politique est créée :

    aws elb describe-load-balancer-policies --load-balancer-name my-loadbalancer --policy-name my-SSLNegotiation-policy

    La réponse inclut la description de la stratégie.

  4. Utilisez la commande set-load-balancer-policies-of-listener suivante pour activer la politique sur le port 443 de l'équilibreur de charge :

    aws elb set-load-balancer-policies-of-listener --load-balancer-name my-loadbalancer --load-balancer-port 443 --policy-names my-SSLNegotiation-policy
    Note

    La commande set-load-balancer-policies-of-listener remplace l'ensemble de stratégies actuel pour le port de programme d'équilibreur de charge indiqué par l'ensemble de stratégies spécifié. La liste --policy-names doit inclure toutes les stratégies à activer. Si vous omettez une stratégie actuellement activée, celle-ci est désactivée.

  5. (Facultatif) Utilisez la describe-load-balancerscommande suivante pour vérifier que la nouvelle politique est activée pour le port de l'équilibreur de charge :

    aws elb describe-load-balancers --load-balancer-name my-loadbalancer

    La réponse montre que la stratégie est activée sur le port 443.

    ...
  {
      "Listener": {
          "InstancePort": 443,
          "SSLCertificateId": "ARN",
          "LoadBalancerPort": 443,
          "Protocol": "HTTPS",
          "InstanceProtocol": "HTTPS"
      },
      "PolicyNames": [
          "my-SSLNegotiation-policy"
      ]
  }
...

Lorsque vous créez une stratégie de sécurité personnalisée, vous devez activer au moins un protocole et un chiffrement. Les DSA RSA chiffrements et sont spécifiques à l'algorithme de signature et sont utilisés pour créer le SSL certificat. Si vous possédez déjà un SSL certificat, veillez à activer le chiffrement utilisé pour créer le certificat. Le nom de votre stratégie personnalisée ne doit pas commencer par ELBSecurityPolicy- ou ELBSample-, car ces préfixes sont réservés pour les noms des stratégies de sécurité prédéfinies.

Pour utiliser une politique SSL de sécurité personnalisée

  1. Utilisez la create-load-balancer-policycommande pour créer une politique de SSL négociation à l'aide d'une politique de sécurité personnalisée. Par exemple :

    aws elb create-load-balancer-policy --load-balancer-name my-loadbalancer 
 --policy-name my-SSLNegotiation-policy --policy-type-name SSLNegotiationPolicyType 
 --policy-attributes AttributeName=Protocol-TLSv1.2,AttributeValue=true 
 AttributeName=Protocol-TLSv1.1,AttributeValue=true 
 AttributeName=DHE-RSA-AES256-SHA256,AttributeValue=true 
 AttributeName=Server-Defined-Cipher-Order,AttributeValue=true

    Si vous dépassez la limite du nombre de politiques pour l'équilibreur de charge, utilisez la delete-load-balancer-policycommande pour supprimer les politiques non utilisées.

  2. (Facultatif) Utilisez la describe-load-balancer-policiescommande suivante pour vérifier que la politique est créée :

    aws elb describe-load-balancer-policies --load-balancer-name my-loadbalancer --policy-name my-SSLNegotiation-policy

    La réponse inclut la description de la stratégie.

  3. Utilisez la commande set-load-balancer-policies-of-listener suivante pour activer la politique sur le port 443 de l'équilibreur de charge :

    aws elb set-load-balancer-policies-of-listener --load-balancer-name my-loadbalancer --load-balancer-port 443 --policy-names my-SSLNegotiation-policy
    Note

    La commande set-load-balancer-policies-of-listener remplace l'ensemble de stratégies actuel pour le port de programme d'équilibreur de charge indiqué par l'ensemble de stratégies spécifié. La liste --policy-names doit inclure toutes les stratégies à activer. Si vous omettez une stratégie actuellement activée, celle-ci est désactivée.

  4. (Facultatif) Utilisez la describe-load-balancerscommande suivante pour vérifier que la nouvelle politique est activée pour le port de l'équilibreur de charge :

    aws elb describe-load-balancers --load-balancer-name my-loadbalancer

    La réponse montre que la stratégie est activée sur le port 443.

    ...
  {
      "Listener": {
          "InstancePort": 443,
          "SSLCertificateId": "ARN",
          "LoadBalancerPort": 443,
          "Protocol": "HTTPS",
          "InstanceProtocol": "HTTPS"
      },
      "PolicyNames": [
          "my-SSLNegotiation-policy"
      ]
  }
...