Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Sertifikat server untuk Network Load Balancer Anda
Saat Anda membuat pendengar yang aman untuk Network Load Balancer, Anda harus menerapkan setidaknya satu sertifikat pada penyeimbang beban. Penyeimbang beban memerlukan sertifikat X.509 (sertifikat server). Sertifikat adalah bentuk digital identifikasi yang dikeluarkan oleh otoritas sertifikat (CA). Sertifikat berisi informasi identifikasi, masa berlaku, kunci publik, nomor seri, dan tanda tangan digital penerbit.
Ketika Anda membuat sertifikat untuk digunakan dengan penyeimbang beban Anda, Anda harus menentukan nama domain. Nama domain pada sertifikat harus sesuai dengan catatan nama domain khusus sehingga kami dapat memverifikasi TLS koneksi. Jika mereka tidak cocok, lalu lintas tidak dienkripsi.
Anda harus menentukan nama domain yang sepenuhnya memenuhi syarat (FQDN) untuk sertifikat Anda, seperti www.example.com atau nama domain apex sepertiexample.com. Anda juga dapat menggunakan tanda bintang (*) sebagai kartu liar untuk melindungi beberapa nama situs di domain yang sama. Saat Anda meminta sertifikat kartu liar, tanda bintang (*) harus berada di posisi paling kiri dari nama domain dan hanya dapat melindungi satu tingkat subdomain. Misalnya, *.example.com melindungicorp.example.com, danimages.example.com, tetapi tidak dapat melindungitest.login.example.com. Perhatikan juga bahwa *.example.com melindungi hanya subdomain dariexample.com, itu tidak melindungi domain telanjang atau apex (). example.com Nama kartu liar muncul di bidang Subjek dan di ekstensi Nama Alternatif Subjek sertifikat. Untuk informasi selengkapnya tentang sertifikat publik, lihat Meminta sertifikat publik di Panduan AWS Certificate Manager Pengguna.
Kami menyarankan Anda membuat sertifikat untuk penyeimbang beban Anda menggunakan AWS Certificate Manager () ACM
Atau, Anda dapat menggunakan TLS alat untuk membuat permintaan penandatanganan sertifikat (CSR), lalu mendapatkan CSR tanda tangan CA untuk menghasilkan sertifikat, lalu mengimpor sertifikat ke dalam ACM atau mengunggah sertifikat ke AWS Identity and Access Management (IAM). Untuk informasi selengkapnya, lihat Mengimpor sertifikat di Panduan AWS Certificate Manager Pengguna atau Bekerja dengan sertifikat server di Panduan IAM Pengguna.
Algoritma kunci yang didukung
RSA1024-bit
RSA2048-bit
RSA3072-bit
ECDSA256-bit
ECDSA384-bit
ECDSA521-bit
Sertifikat default
Saat Anda membuat TLS pendengar, Anda harus menentukan dengan tepat satu sertifikat. Sertifikat ini dikenal sebagai sertifikat default. Anda dapat mengganti sertifikat default setelah Anda membuat TLS listener. Untuk informasi selengkapnya, lihat Mengganti sertifikat default.
Jika Anda menentukan sertifikat tambahan dalam daftar sertifikat, sertifikat default hanya digunakan jika klien terhubung tanpa menggunakan protokol Server Name Indication (SNI) untuk menentukan nama host atau jika tidak ada sertifikat yang cocok dalam daftar sertifikat.
Jika Anda tidak menentukan sertifikat tambahan tetapi perlu meng-host beberapa aplikasi aman melalui penyeimbang beban tunggal, Anda dapat menggunakan sertifikat wildcard atau menambahkan Nama Alternatif Subjek (SAN) untuk setiap domain tambahan ke sertifikat Anda.
Daftar sertifikat
Setelah Anda membuat TLS listener, ia memiliki sertifikat default dan daftar sertifikat kosong. Anda dapat menambahkan sertifikat ke daftar sertifikat untuk listener secara opsional. Menggunakan daftar sertifikat memungkinkan penyeimbang beban untuk mendukung beberapa domain pada port yang sama dan memberikan sertifikat yang berbeda untuk setiap domain. Untuk informasi selengkapnya, lihat Menambahkan sertifikat ke daftar sertifikat.
Load balancer menggunakan algoritma pemilihan sertifikat cerdas dengan dukungan untukSNI. Jika nama host yang disediakan oleh klien cocok dengan satu sertifikat dalam daftar sertifikat, penyeimbang beban akan memilih sertifikat ini. Jika nama host yang disediakan oleh klien cocok dengan beberapa sertifikat dalam daftar sertifikat, penyeimbang beban memilih sertifikat terbaik yang dapat didukung klien. Pemilihan sertifikat didasarkan pada kriteria dalam urutan sebagai berikut:
-
Algoritma hashing (SHAlebih MD5 suka)
-
Panjang kunci (lebih memilih yang terbesar)
-
Masa berlaku
Entri log akses penyeimbang beban menunjukkan nama host yang ditentukan oleh klien dan sertifikat yang diberikan kepada klien. Untuk informasi selengkapnya, lihat Entri akses log.
Perpanjangan sertifikat
Setiap sertifikat memiliki masa berlaku. Anda harus memastikan bahwa Anda memperpanjang atau mengganti setiap sertifikat untuk penyeimbang beban Anda sebelum masa berlakunya berakhir. Ini termasuk sertifikat default dan sertifikat dalam daftar sertifikat. Memperpanjang atau mengganti sertifikat tidak memengaruhi permintaan dalam penerbangan yang diterima oleh node penyeimbang beban dan sedang menunggu perutean ke target yang sehat. Setelah sertifikat diperpanjang, permintaan baru menggunakan akan menggunakan sertifikat yang telah diperpanjang. Setelah sertifikat diganti, permintaan baru akan menggunakan sertifikat baru.
Anda dapat mengelola perpanjangan sertifikat dan penggantian sebagai berikut:
-
Sertifikat yang disediakan oleh AWS Certificate Manager dan digunakan pada penyeimbang beban Anda dapat diperbarui secara otomatis. ACMmencoba memperbarui sertifikat sebelum kedaluwarsa. Untuk informasi lebih lanjut, lihat Perpanjangan Terkelola dalam AWS Certificate Manager Panduan Pengguna.
-
Jika Anda mengimpor sertifikat ke dalamACM, Anda harus memantau tanggal kedaluwarsa sertifikat dan memperbaruinya sebelum kedaluwarsa. Untuk informasi lebih lanjut, lihat Mengimpor sertifikat di AWS Certificate Manager Panduan Pengguna.
-
Jika Anda mengimpor sertifikatIAM, Anda harus membuat sertifikat baru, mengimpor sertifikat baru ke ACM atauIAM, menambahkan sertifikat baru ke penyeimbang beban Anda, dan menghapus sertifikat kedaluwarsa dari penyeimbang beban Anda.
