As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Atualize a configuração SSL de negociação do seu Classic Load Balancer
O Elastic Load Balancing fornece políticas de segurança que têm configurações de SSL negociação predefinidas para usar na negociação de SSL conexões entre clientes e seu balanceador de carga. Se você estiver usando o SSL protocoloHTTPS/para seu ouvinte, poderá usar uma das políticas de segurança predefinidas ou usar sua própria política de segurança personalizada.
Para obter mais informações sobre as políticas de segurança, consulte SSLconfigurações de negociação para Classic Load Balancers. Para obter informações sobre as configurações das políticas de segurança fornecidas pelo Elastic Load Balancing, consulte Políticas de SSL segurança predefinidas.
Se você criar umHTTPS/SSLlistener sem associar uma política de segurança, o Elastic Load Balancing associará a política de segurança predefinida padrãoELBSecurityPolicy-2016-08,, ao seu load balancer.
Se você preferir, pode criar uma configuração personalizada. É altamente recomendável que você teste sua política de segurança antes de atualizar a configuração do balanceador de carga.
Os exemplos a seguir mostram como atualizar a configuração de SSL negociação para um SSL ouvinte HTTPS /. Observe que a alteração não afeta as solicitações recebidas por um nó do load balancer e são pendentes de roteamento para uma instância íntegra, mas a configuração atualizada será usada com as novas solicitações recebidas.
Conteúdo
Atualize a configuração SSL de negociação usando o console
Por padrão, o Elastic Load Balancing associa a política predefinida mais recente a seu balanceador de carga. Quando uma nova política predefinida é adicionada, recomendamos que você atualize o load balancer para usar a nova política predefinida. Você também pode selecionar uma política de segurança predefinida diferente ou criar uma política personalizada.
Para atualizar a configuração SSL de negociação para um balanceador de SSL cargaHTTPS//usando o console
Abra o EC2 console da Amazon em https://console.aws.amazon.com/ec2/
. -
No painel de navegação, em Load Balancing (Balanceamento de carga), escolha Load balancers (Balanceadores de carga).
-
Escolha o nome do balanceador de carga para abrir sua página de detalhes.
-
Na guia Receptores, escolha Gerenciar receptores.
-
Na página Gerenciar receptores, localize o receptor a ser atualizado, escolha Editar em Política de segurança e selecione uma política de segurança usando uma das seguintes opções:
-
Mantenha a política padrão, ELBSecurityPolicy-2016-08, e escolha Salvar alterações.
-
Selecione uma política predefinida diferente do padrão e escolha Salvar alterações.
-
Selecione Personalizar e habilite pelo menos um protocolo e uma cifra, da seguinte forma:
-
Em SSLProtocolos, selecione um ou mais protocolos para habilitar.
-
Em SSLOpções, selecione Preferência de pedido do servidor para usar o pedido listado no Políticas de SSL segurança predefinidas para SSL negociação.
-
Em SSLCifras, selecione uma ou mais cifras para habilitar. Se você já tiver um SSL certificado, deverá habilitar a cifra usada para criar o certificado, pois as DSA RSA cifras são específicas do algoritmo de assinatura.
-
Escolha Salvar alterações.
-
-
Atualize a configuração SSL da negociação usando o AWS CLI
Você pode usar a política de segurança predefinida padrão, ELBSecurityPolicy-2016-08, uma política de segurança predefinida diferente ou uma política de segurança personalizada.
Para usar uma política de SSL segurança predefinida
-
Use o describe-load-balancer-policiescomando a seguir para listar as políticas de segurança predefinidas fornecidas pelo Elastic Load Balancing. A sintaxe a ser usada dependerá do sistema operacional e do shell em uso.
Linux
aws elb describe-load-balancer-policies --query 'PolicyDescriptions[?PolicyTypeName==`SSLNegotiationPolicyType`].{PolicyName:PolicyName}' --output tableWindows
aws elb describe-load-balancer-policies --query "PolicyDescriptions[?PolicyTypeName==`SSLNegotiationPolicyType`].{PolicyName:PolicyName}" --output tableA seguir está um exemplo de saída:
------------------------------------------ | DescribeLoadBalancerPolicies | +----------------------------------------+ | PolicyName | +----------------------------------------+ | ELBSecurityPolicy-2016-08 | | ELBSecurityPolicy-TLS-1-2-2017-01 | | ELBSecurityPolicy-TLS-1-1-2017-01 | | ELBSecurityPolicy-2015-05 | | ELBSecurityPolicy-2015-03 | | ELBSecurityPolicy-2015-02 | | ELBSecurityPolicy-2014-10 | | ELBSecurityPolicy-2014-01 | | ELBSecurityPolicy-2011-08 | | ELBSample-ELBDefaultCipherPolicy | | ELBSample-OpenSSLDefaultCipherPolicy | +----------------------------------------+Para determinar quais cifras estão habilitadas para uma política, use o seguinte comando:
aws elb describe-load-balancer-policies --policy-namesELBSecurityPolicy-2016-08--output tablePara obter informações sobre a configuração das políticas de segurança predefinidas, consulte Políticas de SSL segurança predefinidas.
-
Use o create-load-balancer-policycomando para criar uma política de SSL negociação usando uma das políticas de segurança predefinidas que você descreveu na etapa anterior. Por exemplo, o comando a seguir usa a política de segurança predefinida padrão:
aws elb create-load-balancer-policy --load-balancer-namemy-loadbalancer--policy-namemy-SSLNegotiation-policy--policy-type-name SSLNegotiationPolicyType --policy-attributes AttributeName=Reference-Security-Policy,AttributeValue=ELBSecurityPolicy-2016-08Se você exceder o limite do número de políticas para o balanceador de carga, use o delete-load-balancer-policycomando para excluir as políticas não utilizadas.
-
(Opcional) Use o describe-load-balancer-policiescomando a seguir para verificar se a política foi criada:
aws elb describe-load-balancer-policies --load-balancer-namemy-loadbalancer--policy-namemy-SSLNegotiation-policyA resposta inclui a descrição da política.
-
Use o seguinte comando set-load-balancer-policies-of-listener para habilitar a política na porta 443 do balanceador de carga:
aws elb set-load-balancer-policies-of-listener --load-balancer-namemy-loadbalancer--load-balancer-port 443 --policy-namesmy-SSLNegotiation-policynota
O comando
set-load-balancer-policies-of-listenersubstitui o conjunto atual de políticas para a porta especificada do load balancer pelo conjunto de políticas especificado. A lista--policy-namesdeve incluir todas as políticas para ser habilitada. Se você pular uma política que atualmente está ativada, ela será desativada. -
(Opcional) Use o describe-load-balancerscomando a seguir para verificar se a nova política está habilitada para a porta do balanceador de carga:
aws elb describe-load-balancers --load-balancer-namemy-loadbalancerA resposta mostra que a política está habilitada na porta 443.
... { "Listener": { "InstancePort": 443, "SSLCertificateId": "ARN", "LoadBalancerPort": 443, "Protocol": "HTTPS", "InstanceProtocol": "HTTPS" }, "PolicyNames": [ "my-SSLNegotiation-policy" ] } ...
Quando você cria uma política de segurança personalizada, deve habilitar pelo menos um protocolo e uma cifra. As RSA cifras DSA e são específicas do algoritmo de assinatura e são usadas para criar o SSL certificado. Se você já tiver um SSL certificado, certifique-se de habilitar a cifra usada para criar o certificado. O nome da sua política personalizada não deve começar com ELBSecurityPolicy- ou ELBSample-, pois esses prefixos são reservados para os nomes das políticas de segurança predefinidas.
Para usar uma política SSL de segurança personalizada
-
Use o create-load-balancer-policycomando para criar uma política de SSL negociação usando uma política de segurança personalizada. Por exemplo:
aws elb create-load-balancer-policy --load-balancer-namemy-loadbalancer--policy-namemy-SSLNegotiation-policy--policy-type-name SSLNegotiationPolicyType --policy-attributes AttributeName=Protocol-TLSv1.2,AttributeValue=true AttributeName=Protocol-TLSv1.1,AttributeValue=true AttributeName=DHE-RSA-AES256-SHA256,AttributeValue=true AttributeName=Server-Defined-Cipher-Order,AttributeValue=trueSe você exceder o limite do número de políticas para o balanceador de carga, use o delete-load-balancer-policycomando para excluir as políticas não utilizadas.
-
(Opcional) Use o describe-load-balancer-policiescomando a seguir para verificar se a política foi criada:
aws elb describe-load-balancer-policies --load-balancer-namemy-loadbalancer--policy-namemy-SSLNegotiation-policyA resposta inclui a descrição da política.
-
Use o seguinte comando set-load-balancer-policies-of-listener para habilitar a política na porta 443 do balanceador de carga:
aws elb set-load-balancer-policies-of-listener --load-balancer-namemy-loadbalancer--load-balancer-port 443 --policy-namesmy-SSLNegotiation-policynota
O comando
set-load-balancer-policies-of-listenersubstitui o conjunto atual de políticas para a porta especificada do load balancer pelo conjunto de políticas especificado. A lista--policy-namesdeve incluir todas as políticas para ser habilitada. Se você pular uma política que atualmente está ativada, ela será desativada. -
(Opcional) Use o describe-load-balancerscomando a seguir para verificar se a nova política está habilitada para a porta do balanceador de carga:
aws elb describe-load-balancers --load-balancer-namemy-loadbalancerA resposta mostra que a política está habilitada na porta 443.
... { "Listener": { "InstancePort": 443, "SSLCertificateId": "ARN", "LoadBalancerPort": 443, "Protocol": "HTTPS", "InstanceProtocol": "HTTPS" }, "PolicyNames": [ "my-SSLNegotiation-policy" ] } ...
