Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

SSL/TLScertificats pour les équilibreurs de charge classiques

Si vous utilisez HTTPS (SSLouTLS) pour votre écouteur frontal, vous devez déployer un TLS certificatSSL/sur votre équilibreur de charge. L'équilibreur de charge utilise le certificat pour mettre fin à la connexion, puis déchiffrer les demandes des clients avant de les envoyer aux instances.

Les TLS protocoles SSL et utilisent un certificat X.509 (SSL/certificat de TLS serveur) pour authentifier à la fois le client et l'application principale. Un certificat X.509 est une forme numérique d'identification émise par une autorité de certification (CA). Il contient les informations d'identification, une période de validité, une clé publique, un numéro de série et la signature numérique de l'émetteur.

Vous pouvez créer un certificat à l'aide AWS Certificate Manager d'un outil compatible avec les TLS protocoles SSL and, tel qu'OpenSSL. Vous spécifierez ce certificat lorsque vous créerez ou mettrez à jour un HTTPS écouteur pour votre équilibreur de charge. Lorsque vous créez un certificat à utiliser avec votre équilibreur de charge, vous devez spécifier un nom de domaine.

Lorsque vous créez un certificat à utiliser avec votre équilibreur de charge, vous devez spécifier un nom de domaine. Le nom de domaine figurant sur le certificat doit correspondre à l'enregistrement du nom de domaine personnalisé. S'ils ne correspondent pas, le trafic ne sera pas crypté car la TLS connexion ne peut pas être vérifiée.

Vous devez spécifier un nom de domaine complet (FQDN) pour votre certificat, par exemple www.example.com ou un nom de domaine apex tel queexample.com. Vous pouvez également utiliser un astérisque (*) comme caractère générique pour protéger plusieurs noms de sites dans le même domaine. Lorsque vous demandez un certificat générique, l'astérisque (*) doit se trouver tout à gauche du nom de domaine et ne peut protéger qu'un seul niveau de sous-domaine. Par exemple, *.example.com protège corp.example.com et images.example.com, mais ne peut pas protéger test.login.example.com. Notez également que *.example.com ne protège que les sous-domaines de example.com, il ne protège pas le domaine strict ou apex (example.com). Le nom générique apparaîtra dans le champ Objet et dans l'extension Autre nom de l'objet du certificat. Pour plus d'informations sur les certificats publics, consultez Demande de certificat public du Guide de l'utilisateur AWS Certificate Manager .

Créez ou importez un TLS certificatSSL/en utilisant AWS Certificate Manager

Nous vous recommandons d'utiliser AWS Certificate Manager (ACM) pour créer ou importer des certificats pour votre équilibreur de charge. ACMs'intègre à Elastic Load Balancing afin que vous puissiez déployer le certificat sur votre équilibreur de charge. Pour que vous puissiez déployer un certificat sur votre équilibreur de charge, le certificat doit être dans la même Région que l'équilibreur de charge. Pour plus d'informations, consultez Demander un certificat public ou Importation de certificats dans le AWS Certificate Manager Guide de l'utilisateur.

Pour permettre à un utilisateur de déployer le certificat sur votre équilibreur de charge à l'aide du AWS Management Console, vous devez autoriser l'accès à l'ACMListCertificatesAPIaction. Pour plus d'informations, consultez la section Liste des certificats dans le AWS Certificate Manager Guide de l'utilisateur.

Importez un TLS certificatSSL/en utilisant IAM

Si vous ne l'utilisez pasACM, vous pouvez utiliser les TLS outilsSSL/, tels que OpenSSL, pour créer une demande de signature de certificat (CSR), la faire CSR signer par une autorité de certification afin de produire un certificat et télécharger le certificat versIAM. Pour plus d'informations, consultez la section Utilisation des certificats de serveur dans le Guide de IAM l'utilisateur.