SSL/TLSsertifikat untuk Classic Load Balancers - Penyeimbang Beban Elastis

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

SSL/TLSsertifikat untuk Classic Load Balancers

Jika Anda menggunakan HTTPS (SSLatauTLS) untuk pendengar front-end Anda, Anda harus menerapkan TLS sertifikatSSL/pada penyeimbang beban Anda. Load balancer menggunakan sertifikat untuk mengakhiri koneksi dan kemudian mendekripsi permintaan dari klien sebelum mengirimnya ke instance.

TLSProtokol SSL dan menggunakan sertifikat X.509 (SSL/sertifikat TLS server) untuk mengautentikasi klien dan aplikasi back-end. Sertifikat X.509 adalah bentuk identifikasi digital yang dikeluarkan oleh otoritas sertifikat (CA) dan berisi informasi identifikasi, masa berlaku, kunci publik, nomor seri, dan tanda tangan digital penerbit.

Anda dapat membuat sertifikat menggunakan AWS Certificate Manager atau alat yang mendukung SSL dan TLS protokol, seperti Buka. SSL Anda akan menentukan sertifikat ini ketika Anda membuat atau memperbarui HTTPS listener untuk penyeimbang beban Anda. Ketika Anda membuat sertifikat untuk digunakan dengan penyeimbang beban Anda, Anda harus menentukan nama domain.

Ketika Anda membuat sertifikat untuk digunakan dengan penyeimbang beban Anda, Anda harus menentukan nama domain. Nama domain pada sertifikat harus sesuai dengan catatan nama domain kustom. Jika tidak cocok, lalu lintas tidak akan dienkripsi karena TLS koneksi tidak dapat diverifikasi.

Anda harus menentukan nama domain yang sepenuhnya memenuhi syarat (FQDN) untuk sertifikat Anda, seperti www.example.com atau nama domain apex sepertiexample.com. Anda juga dapat menggunakan tanda bintang (*) sebagai kartu liar untuk melindungi beberapa nama situs di domain yang sama. Saat Anda meminta sertifikat kartu liar, tanda bintang (*) harus berada di posisi paling kiri dari nama domain dan hanya dapat melindungi satu tingkat subdomain. Misalnya, *.example.com melindungicorp.example.com, danimages.example.com, tetapi tidak dapat melindungitest.login.example.com. Perhatikan juga bahwa *.example.com melindungi hanya subdomain dariexample.com, itu tidak melindungi domain telanjang atau apex (). example.com Nama kartu liar akan muncul di bidang Subjek dan di ekstensi Nama Alternatif Subjek sertifikat. Untuk informasi selengkapnya tentang sertifikat publik, lihat Meminta sertifikat publik di Panduan AWS Certificate Manager Pengguna.

Membuat atau mengimpor TLS sertifikatSSL/menggunakan AWS Certificate Manager

Kami menyarankan Anda menggunakan AWS Certificate Manager (ACM) untuk membuat atau mengimpor sertifikat untuk penyeimbang beban Anda. ACMterintegrasi dengan Elastic Load Balancing sehingga Anda dapat menyebarkan sertifikat pada penyeimbang beban Anda. Untuk menyebarkan sertifikat pada penyeimbang beban Anda, sertifikat harus berada di Wilayah yang sama dengan penyeimbang beban. Untuk informasi selengkapnya, lihat Meminta sertifikat publik atau Mengimpor sertifikat di Panduan AWS Certificate Manager Pengguna.

Untuk memungkinkan pengguna menerapkan sertifikat pada penyeimbang beban Anda menggunakan AWS Management Console, Anda harus mengizinkan akses ke tindakan tersebut ACM ListCertificatesAPI. Untuk informasi selengkapnya, lihat Daftar sertifikat di Panduan AWS Certificate Manager Pengguna.

penting

Anda tidak dapat menginstal sertifikat dengan kunci 4096-bit atau RSA kunci EC pada penyeimbang beban Anda melalui integrasi dengan. ACM Anda harus mengunggah sertifikat dengan kunci 4096-bit atau RSA kunci EC untuk IAM menggunakannya dengan penyeimbang beban Anda.

Impor SSL TLS /sertifikat menggunakan IAM

Jika Anda tidak menggunakanACM, Anda dapat menggunakanSSL/TLStools, seperti OpenSSL, untuk membuat permintaan penandatanganan sertifikat (CSR), mendapatkan CSR tanda tangan CA untuk menghasilkan sertifikat, dan mengunggah sertifikat keIAM. Untuk informasi selengkapnya, lihat Bekerja dengan sertifikat server di Panduan IAM Pengguna.