Buat listener HTTPS untuk Application Load Balancer Anda - Elastic Load Balancing
PrasyaratMenambahkan listener HTTPS

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Buat listener HTTPS untuk Application Load Balancer Anda

Pendengar memeriksa permintaan koneksi. Anda menentukan listener saat membuat penyeimbang beban, dan Anda dapat menambahkan listener ke penyeimbang beban kapan Anda saja.

Untuk membuat pendengar HTTPS, Anda harus menerapkan setidaknya satu sertifikat server SSL pada penyeimbang beban Anda. Penyeimbang beban menggunakan sertifikat server untuk mengakhiri koneksi front-end dan kemudian mendekripsi permintaan dari klien sebelum mengirimkannya ke target. Anda juga harus menentukan kebijakan keamanan, yang digunakan untuk menegosiasikan koneksi aman antara klien dan penyeimbang beban.

Jika Anda perlu meneruskan lalu lintas terenkripsi ke target tanpa penyeimbang beban mendekripsi, Anda dapat membuat Network Load Balancer atau Classic Load Balancer dengan pendengar TCP di port 443. Dengan pendengar TCP, penyeimbang beban meneruskan lalu lintas terenkripsi ke target tanpa mendekripsi.

Informasi di halaman ini membantu Anda membuat listener HTTPS untuk penyeimbang beban Anda. Untuk menambahkan listener HTTP ke penyeimbang beban Anda, lihat Membuat listener HTTP untuk Application Load Balancer Anda.

Prasyarat

  • Untuk membuat listener HTTPS, Anda harus menentukan sertifikat dan kebijakan keamanan. Penyeimbang beban menggunakan sertifikat untuk mengakhiri koneksi dan mendekripsi permintaan dari klien sebelum mengarahkannya ke target. Penyeimbang beban menggunakan kebijakan keamanan saat menegosiasikan koneksi SSL dengan klien.

    Application Load Balancers tidak mendukung ED25519 kunci.

  • Untuk menambahkan tindakan maju ke peraturan listener default, Anda harus menentukan grup target yang tersedia. Untuk informasi selengkapnya, lihat Buat grup target untuk Application Load Balancer Anda.

  • Anda dapat menentukan grup target yang sama di beberapa pendengar, tetapi pendengar ini harus termasuk dalam penyeimbang beban yang sama. Untuk menggunakan grup target dengan penyeimbang beban, Anda harus memverifikasi bahwa grup tersebut tidak digunakan oleh pendengar untuk penyeimbang beban lainnya.

Menambahkan listener HTTPS

Anda mengonfigurasi listener dengan protokol dan port untuk koneksi dari klien ke load balancer, dan grup target untuk aturan listener default. Untuk informasi selengkapnya, lihat Konfigurasi listener.

Untuk menambahkan listener HTTPS menggunakan konsol

  1. Buka EC2 konsol Amazon di https://console.aws.amazon.com/ec2/.

  2. Pada panel navigasi, pilih Load Balancers.

  3. Pilih penyeimbang beban.

  4. Pada tab Listeners and rules, pilih Add listener.

  5. Untuk Protokol: Port, pilih HTTPS dan simpan port default atau masukkan port yang berbeda.

  6. (Opsional) Untuk mengaktifkan otentikasi, di bawah Otentikasi pilih Gunakan OpenID atau Amazon Cognito, dan berikan informasi yang diminta. Untuk informasi selengkapnya, lihat Mengautentikasi pengguna menggunakan Application Load Balancer.

  7. Untuk Tindakan default, lakukan salah satu dari berikut ini:

    • Teruskan ke grup sasaran — Pilih satu atau lebih kelompok sasaran untuk meneruskan lalu lintas ke. Untuk menambahkan grup target pilih Tambahkan grup target. Jika menggunakan lebih dari satu kelompok sasaran, pilih bobot untuk setiap kelompok sasaran dan tinjau persentase yang terkait. Anda harus mengaktifkan kelengketan tingkat grup pada aturan, jika Anda telah mengaktifkan kekakuan pada satu atau beberapa grup target.

    • Redirect ke URL - Tentukan URL tempat permintaan klien akan dialihkan. Ini dapat dilakukan dengan memasukkan setiap bagian secara terpisah pada tab bagian URI, atau dengan memasukkan alamat lengkap pada tab URL Lengkap. Untuk kode Status, Anda dapat mengonfigurasi pengalihan sebagai sementara (HTTP 302) atau permanen (HTTP 301) berdasarkan kebutuhan Anda.

    • Kembalikan respons tetap - Tentukan kode Respons yang akan dikembalikan ke permintaan klien yang dijatuhkan. Selain itu, Anda dapat menentukan jenis Konten dan isi Respons, tetapi tidak diperlukan.

  8. Untuk kebijakan Keamanan, kami menyarankan Anda untuk selalu menggunakan kebijakan keamanan terbaru yang telah ditentukan sebelumnya.

  9. Untuk sertifikat SSL/TLS Default, opsi berikut tersedia:

    • Jika Anda membuat atau mengimpor sertifikat menggunakan AWS Certificate Manager, pilih Dari ACM, lalu pilih sertifikat dari Pilih sertifikat.

    • Jika Anda mengimpor sertifikat menggunakan IAM, pilih Dari IAM, lalu pilih sertifikat Anda dari Pilih sertifikat.

    • Jika Anda memiliki sertifikat untuk diimpor tetapi ACM tidak tersedia di Wilayah Anda, pilih Impor, lalu pilih Ke IAM. Ketik nama sertifikat di bidang Nama sertifikat. Dalam kunci privat Sertifikat, salin dan tempel isi file kunci pribadi (dikodekan PEM). Di badan Sertifikat, salin dan tempel isi file sertifikat kunci publik (dikodekan PEM). Di Rantai Sertifikat, salin dan tempel isi file rantai sertifikat (dikodekan PEM), kecuali Anda menggunakan sertifikat yang ditandatangani sendiri, dan bukan hal yang penting jika browser secara implisit menerima sertifikat.

  10. (Opsional) Untuk mengaktifkan otentikasi timbal balik, di bawah penanganan sertifikat Klien aktifkan Mutual Authentication (mTLS).

    Saat diaktifkan, mode TLS timbal balik default adalah passthrough.

    Jika Anda memilih Verifikasi dengan Trust Store:

    • Secara default, koneksi dengan sertifikat klien yang kedaluwarsa ditolak. Untuk mengubah perilaku ini, perluas pengaturan mTL lanjutan, lalu di bawah kedaluwarsa sertifikat Klien pilih Izinkan sertifikat klien yang kedaluwarsa.

    • Di bawah Trust Store pilih toko kepercayaan yang ada, atau pilih Toko kepercayaan baru.

      • Jika Anda memilih New trust store, berikan nama toko Trust, lokasi Otoritas Sertifikat URI S3, dan secara opsional lokasi daftar pencabutan Sertifikat URI S3.

    • (Opsional) Pilih apakah Anda ingin mengaktifkan Advertise TrustStore CA nama subjek.

  11. Pilih Simpan.

Untuk menambahkan pendengar HTTPS menggunakan AWS CLI

Gunakan perintah buat-listener untuk membuat listener dan peraturan default, serta perintah buat-peraturan untuk menentukan peraturan listener tambahan.