Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Aggiorna la configurazione di SSL negoziazione del tuo Classic Load Balancer
Elastic Load Balancing fornisce policy di sicurezza con configurazioni di SSL negoziazione predefinite da utilizzare per negoziare le SSL connessioni tra i client e il sistema di bilanciamento del carico. Se utilizzi il SSL protocolloHTTPS/per il tuo listener, puoi utilizzare una delle politiche di sicurezza predefinite o utilizzare una politica di sicurezza personalizzata.
Per ulteriori informazioni sulle policy di sicurezza, consulta SSLconfigurazioni di negoziazione per Classic Load Balancer. Per informazioni sulle configurazioni delle policy di sicurezza fornite da Elastic Load Balancing, consulta Politiche di sicurezza predefinite SSL.
Se crei un SSL listenerHTTPS/senza associare una policy di sicurezza, Elastic Load Balancing associa la policy di sicurezza predefinita predefinita al tuo load balancerELBSecurityPolicy-2016-08
.
Se preferisci, puoi creare una configurazione personalizzata. Ti consigliamo vivamente di testare la tua politica di sicurezza prima di aggiornare la configurazione del load balancer.
Gli esempi seguenti mostrano come aggiornare la configurazione di SSL negoziazione per un HTTPS SSL /listener. Nota che la modifica non influenza le richieste che erano state ricevute da un nodo del load balancer e che sono in attesa del routing a un'istanza integra, ma la configurazione aggiornata verrà utilizzata con le nuove richieste ricevute.
Indice
Aggiorna la configurazione di SSL negoziazione utilizzando la console
Per impostazione predefinita, Elastic Load Balancing associa le policy predefinite più recenti al tuo load balancer. Quando una nuova policy predefinita viene aggiunta, è consigliabile aggiornare il load balancer in modo che utilizzi la nuova policy predefinita. In alternativa, puoi selezionare un'altra policy di sicurezza predefinita oppure creare una policy personalizzata.
Per aggiornare la configurazione di SSL negoziazione per un sistema di bilanciamento SSL del caricoHTTPS/utilizzando la console
Apri la EC2 console Amazon all'indirizzo https://console.aws.amazon.com/ec2/
. -
Nel pannello di navigazione, sotto Bilanciamento del carico, scegli Sistemi di bilanciamento del carico.
-
Scegli il nome del sistema di bilanciamento del carico per aprirne la pagina dei dettagli.
-
Nella scheda Listener, scegli Gestisci ascoltatori.
-
Nella pagina Gestisci ascoltatori, individua l'ascoltatore da aggiornare, scegli Modifica in Policy di sicurezza e seleziona una policy di sicurezza utilizzando una delle seguenti opzioni:
-
Mantieni la politica predefinita, ELBSecurityPolicy-2016-08, quindi scegli Salva modifiche.
-
Seleziona una policy predefinita diversa da quella di default, quindi scegli Salva modifiche.
-
Seleziona Personalizzato e abilita almeno un protocollo e una crittografia come segue:
-
Per SSLProtocolli, seleziona uno o più protocolli da abilitare.
-
Per SSLOpzioni, seleziona Preferenza ordine server per utilizzare l'ordine elencato nella sezione Politiche di sicurezza predefinite SSL per la SSL negoziazione.
-
Per SSLCifre, seleziona uno o più codici da abilitare. Se disponi già di un SSL certificato, devi abilitare il codice utilizzato per creare il certificato, poiché DSA i codici sono RSA specifici dell'algoritmo di firma.
-
Scegli Save changes (Salva modifiche).
-
-
Aggiornare la configurazione di negoziazione SSL utilizzando AWS CLI
Puoi utilizzare la policy di sicurezza predefinita di default, ELBSecurityPolicy-2016-08
, una policy di sicurezza predefinita diversa oppure una policy di sicurezza personalizzata.
Per utilizzare una politica di sicurezza predefinita SSL
-
Usa il describe-load-balancer-policiescomando seguente per elencare le politiche di sicurezza predefinite fornite da Elastic Load Balancing. La sintassi utilizzata dipende dal sistema operativo e dalla shell in uso.
Linux
aws elb describe-load-balancer-policies --query 'PolicyDescriptions[?PolicyTypeName==`SSLNegotiationPolicyType`].{PolicyName:PolicyName}' --output table
Windows
aws elb describe-load-balancer-policies --query "PolicyDescriptions[?PolicyTypeName==`SSLNegotiationPolicyType`].{PolicyName:PolicyName}" --output table
Di seguito è riportato un output di esempio:
------------------------------------------ | DescribeLoadBalancerPolicies | +----------------------------------------+ | PolicyName | +----------------------------------------+ | ELBSecurityPolicy-2016-08 | | ELBSecurityPolicy-TLS-1-2-2017-01 | | ELBSecurityPolicy-TLS-1-1-2017-01 | | ELBSecurityPolicy-2015-05 | | ELBSecurityPolicy-2015-03 | | ELBSecurityPolicy-2015-02 | | ELBSecurityPolicy-2014-10 | | ELBSecurityPolicy-2014-01 | | ELBSecurityPolicy-2011-08 | | ELBSample-ELBDefaultCipherPolicy | | ELBSample-OpenSSLDefaultCipherPolicy | +----------------------------------------+
Per determinare quali crittografie sono abilitate per una policy, utilizzare il comando seguente:
aws elb describe-load-balancer-policies --policy-names
ELBSecurityPolicy-2016-08
--output tablePer informazioni sula configurazione delle policy di sicurezza predefinite, consulta Politiche di sicurezza predefinite SSL.
-
Utilizzate il create-load-balancer-policycomando per creare una politica di SSL negoziazione utilizzando una delle politiche di sicurezza predefinite descritte nel passaggio precedente. Ad esempio, il comando seguente utilizza la policy di sicurezza predefinita di default:
aws elb create-load-balancer-policy --load-balancer-name
my-loadbalancer
--policy-namemy-SSLNegotiation-policy
--policy-type-name SSLNegotiationPolicyType --policy-attributes AttributeName=Reference-Security-Policy,AttributeValue=ELBSecurityPolicy-2016-08Se superi il limite del numero di policy per il load balancer, usa il delete-load-balancer-policycomando per eliminare tutte le politiche non utilizzate.
-
(Facoltativo) Utilizzate il seguente describe-load-balancer-policiescomando per verificare che la policy sia stata creata:
aws elb describe-load-balancer-policies --load-balancer-name
my-loadbalancer
--policy-namemy-SSLNegotiation-policy
La risposta include la descrizione della policy.
-
Utilizzate il seguente comando set-load-balancer-policies-of-listener per abilitare la policy sulla porta 443 di load balancer:
aws elb set-load-balancer-policies-of-listener --load-balancer-name
my-loadbalancer
--load-balancer-port 443 --policy-namesmy-SSLNegotiation-policy
Nota
Il comando
set-load-balancer-policies-of-listener
sostituisce l'insieme di policy corrente per la porta del load balancer specificata con l'insieme di policy specificato. L'elenco--policy-names
deve includere tutte le policy da abilitare. Se si omette una policy attualmente abilitata, questa viene disabilitata. -
(Facoltativo) Utilizzate il seguente describe-load-balancerscomando per verificare che la nuova policy sia abilitata per la porta di bilanciamento del carico:
aws elb describe-load-balancers --load-balancer-name
my-loadbalancer
La risposta mostra che la policy è abilitata sulla porta 443.
... { "Listener": { "InstancePort": 443, "SSLCertificateId": "
ARN
", "LoadBalancerPort": 443, "Protocol": "HTTPS", "InstanceProtocol": "HTTPS" }, "PolicyNames": [ "my-SSLNegotiation-policy" ] } ...
Quando si crea una policy di sicurezza personalizzata, occorre abilitare almeno un protocollo e una crittografia. I DSA codici e RSA sono specifici dell'algoritmo di firma e vengono utilizzati per creare il certificato. SSL Se disponi già di un SSL certificato, assicurati di abilitare il codice utilizzato per creare il certificato. Il nome della policy personalizzata non deve iniziare con ELBSecurityPolicy-
o ELBSample-
, poiché questi prefissi sono prenotati per i nomi delle policy di sicurezza predefinite.
Per utilizzare una politica di sicurezza personalizzata SSL
-
Utilizzare il create-load-balancer-policycomando per creare una politica di SSL negoziazione utilizzando una politica di sicurezza personalizzata. Per esempio:
aws elb create-load-balancer-policy --load-balancer-name
my-loadbalancer
--policy-namemy-SSLNegotiation-policy
--policy-type-name SSLNegotiationPolicyType --policy-attributes AttributeName=Protocol-TLSv1.2,AttributeValue=true AttributeName=Protocol-TLSv1.1,AttributeValue=true AttributeName=DHE-RSA-AES256-SHA256,AttributeValue=true AttributeName=Server-Defined-Cipher-Order,AttributeValue=trueSe superi il limite del numero di policy per il load balancer, usa il delete-load-balancer-policycomando per eliminare tutte le politiche non utilizzate.
-
(Facoltativo) Utilizzate il seguente describe-load-balancer-policiescomando per verificare che la policy sia stata creata:
aws elb describe-load-balancer-policies --load-balancer-name
my-loadbalancer
--policy-namemy-SSLNegotiation-policy
La risposta include la descrizione della policy.
-
Utilizzate il seguente comando set-load-balancer-policies-of-listener per abilitare la policy sulla porta 443 di load balancer:
aws elb set-load-balancer-policies-of-listener --load-balancer-name
my-loadbalancer
--load-balancer-port 443 --policy-namesmy-SSLNegotiation-policy
Nota
Il comando
set-load-balancer-policies-of-listener
sostituisce l'insieme di policy corrente per la porta del load balancer specificata con l'insieme di policy specificato. L'elenco--policy-names
deve includere tutte le policy da abilitare. Se si omette una policy attualmente abilitata, questa viene disabilitata. -
(Facoltativo) Utilizzate il seguente describe-load-balancerscomando per verificare che la nuova policy sia abilitata per la porta di bilanciamento del carico:
aws elb describe-load-balancers --load-balancer-name
my-loadbalancer
La risposta mostra che la policy è abilitata sulla porta 443.
... { "Listener": { "InstancePort": 443, "SSLCertificateId": "
ARN
", "LoadBalancerPort": 443, "Protocol": "HTTPS", "InstanceProtocol": "HTTPS" }, "PolicyNames": [ "my-SSLNegotiation-policy" ] } ...