Aktualisieren eines TLS-Listeners für Ihren Network Load Balancer - Elastic Load Balancing
Ersetzen des StandardzertifikatsHinzufügen von Zertifikaten zu einer ZertifikatlisteEntfernen eines Zertifikats aus der ZertifikatlisteAktualisieren der SicherheitsrichtlinieAktualisieren der ALPN-Richtlinie

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Aktualisieren eines TLS-Listeners für Ihren Network Load Balancer

Nachdem Sie einen TLS-Listener erstellt haben, können Sie das Standardzertifikat ersetzen, Zertifikate aus der Zertifikatliste hinzufügen oder entfernen, die Sicherheitsrichtlinie aktualisieren oder die ALPN-Richtlinie aktualisieren.

Ersetzen des Standardzertifikats

Sie können das Standardzertifikat für Ihren TLS-Listener nach Bedarf ersetzen. Weitere Informationen finden Sie unter Standardzertifikat.

Console
Um das Standardzertifikat zu ersetzen

  1. Öffnen Sie die EC2 Amazon-Konsole unter https://console.aws.amazon.com/ec2/.

  2. Wählen Sie im Navigationsbereich Load Balancers aus.

  3. Wählen Sie den Load Balancer aus.

  4. Wählen Sie auf der Registerkarte Listener den Text in der Spalte Protokoll:Port aus, um die Detailseite für den Listener zu öffnen.

  5. Wählen Sie auf der Registerkarte Zertifikate die Option Standard ändern aus.

  6. Wählen Sie in der Tabelle ACM- und IAM-Zertifikate ein neues Standardzertifikat aus.

  7. (Optional) Standardmäßig wählen wir „Vorheriges Standardzertifikat zur Listener-Zertifikatsliste hinzufügen“ aus. Es wird empfohlen, diese Option aktiviert zu lassen, es sei denn, Sie haben derzeit keine Listener-Zertifikate für SNI und verlassen sich auf die Wiederaufnahme der TLS-Sitzung.

  8. Wählen Sie Als Standard speichern aus.

AWS CLI
Um das Standardzertifikat zu ersetzen

Verwenden Sie den Befehl modify-listener.

aws elbv2 modify-listener \
    --listener-arn listener-arn \
    --certificates CertificateArn=new-default-certificate-arn
CloudFormation
Um das Standardzertifikat zu ersetzen

Aktualisieren Sie die AWS::ElasticLoadBalancingV2::ListenerRessource mit dem neuen Standardzertifikat.

Resources:
  myTLSListener:
    Type: 'AWS::ElasticLoadBalancingV2::Listener'
    Properties:
      LoadBalancerArn: !Ref myLoadBalancer
      Protocol: TLS
      Port: 443
      DefaultActions:
        - Type: forward
          TargetGroupArn: !Ref myTargetGroup
      SslPolicy: "ELBSecurityPolicy-TLS13-1-2-2021-06"
      Certificates:
        - CertificateArn: "new-default-certificate-arn"

Hinzufügen von Zertifikaten zu einer Zertifikatliste

Sie können der Zertifikatliste für den Listener mit den folgenden Schritten Zertifikate hinzufügen. Wenn Sie zum ersten Mal einen TLS-Listener erstellen, ist die Zertifikatliste leer. Sie können das Standardzertifikat zur Zertifikatsliste hinzufügen, um sicherzustellen, dass dieses Zertifikat mit dem SNI-Protokoll verwendet wird, auch wenn es als Standardzertifikat ersetzt wird. Weitere Informationen finden Sie unter Zertifikatliste.

Console
Um Zertifikate zur Zertifikatsliste hinzuzufügen

  1. Öffnen Sie die EC2 Amazon-Konsole unter https://console.aws.amazon.com/ec2/.

  2. Klicken Sie im Navigationsbereich auf Load Balancers.

  3. Wählen Sie den Namen des Load Balancers aus, um die Detailseite zu öffnen.

  4. Wählen Sie auf der Registerkarte Listener den Text in der Spalte Protokoll:Port aus, um die Detailseite für den Listener zu öffnen.

  5. Wählen Sie die Registerkarte Certificates (Zertifikate) aus.

  6. Um das Standardzertifikat zur Liste hinzuzufügen, wählen Sie Standard zur Liste hinzufügen.

  7. Gehen Sie wie folgt vor, um der Liste nicht standardmäßige Zertifikate hinzuzufügen:

    1. Wählen Sie Zertifikat hinzufügen aus.

    2. Um Zertifikate hinzuzufügen, die bereits von ACM oder IAM verwaltet werden, wählen Sie die Kontrollkästchen für die Zertifikate und dann die Option Schließen Sie die unten angeführten als ausstehend ein aus.

    3. Um ein Zertifikat hinzuzufügen, das nicht von ACM oder IAM verwaltet wird, wählen Sie Zertifikat importieren, füllen Sie das Formular aus und wählen Sie Importieren aus.

    4. Wählen Sie Ausstehende Zertifikate hinzufügen aus.

AWS CLI
Um Zertifikate zur Zertifikatsliste hinzuzufügen

Verwenden Sie den add-listener-certificates-Befehl.

aws elbv2 add-listener-certificates \
    --listener-arn listener-arn \
    --certificates \
        CertificateArn=certificate-arn-1 \
        CertificateArn=certificate-arn-2 \
        CertificateArn=certificate-arn-3
CloudFormation
Um Zertifikate zur Zertifikatsliste hinzuzufügen

Definieren Sie eine Ressource des Typs AWS::ElasticLoadBalancingV2::ListenerCertificate.

Resources: 
  myCertificateList:
    Type: 'AWS::ElasticLoadBalancingV2::ListenerCertificate'
    Properties:
      ListenerArn: !Ref myTLSListener
      Certificates:
        - CertificateArn: "certificate-arn-1"
        - CertificateArn: "certificate-arn-2"
        - CertificateArn: "certificate-arn-3"

  myTLSListener:
    Type: AWS::ElasticLoadBalancingV2::Listener
    Properties:
      LoadBalancerArn: !Ref myLoadBalancer
      Protocol: TLSS
      Port: 443
      SslPolicy: "ELBSecurityPolicy-TLS13-1-2-2021-06"
      Certificates:
        - CertificateArn: "certificate-arn-1"
      DefaultActions:
        - Type: forward
          TargetGroupArn: !Ref myTargetGroup

Entfernen eines Zertifikats aus der Zertifikatliste

Sie können mit den folgenden Schritten Zertifikate aus der Zertifikatliste für einen TLS-Listener entfernen. Nachdem Sie ein Zertifikat entfernt haben, kann der Listener mit diesem Zertifikat keine Verbindungen mehr herstellen. Um sicherzustellen, dass Clients nicht beeinträchtigt werden, fügen Sie der Liste ein neues Zertifikat hinzu und vergewissern Sie sich, dass die Verbindungen funktionieren, bevor Sie ein Zertifikat aus der Liste entfernen.

Informationen zum Entfernen des Standardzertifikats für einen TLS-Listener finden Sie unter Ersetzen des Standardzertifikats.

Console
Um Zertifikate aus der Zertifikatsliste zu entfernen

  1. Öffnen Sie die EC2 Amazon-Konsole unter https://console.aws.amazon.com/ec2/.

  2. Klicken Sie im Navigationsbereich auf Load Balancers.

  3. Wählen Sie den Namen des Load Balancers aus, um die Detailseite zu öffnen.

  4. Wählen Sie auf der Registerkarte Listener den Text in der Spalte Protokoll:Port aus, um die Detailseite für den Listener zu öffnen.

  5. Aktivieren Sie auf der Registerkarte Zertifikate die Kontrollkästchen für die Zertifikate und wählen Sie Entfernen aus.

  6. Wenn Sie zur Bestätigung aufgefordert werden, geben Sie confirm ein und wählen Sie dann Entfernen.

AWS CLI
Um Zertifikate aus der Zertifikatsliste zu entfernen

Verwenden Sie den remove-listener-certificates-Befehl.

aws elbv2 remove-listener-certificates \
    --listener-arn listener-arn \
    --certificates CertificateArn=certificate-arn

Aktualisieren der Sicherheitsrichtlinie

Wenn Sie einen TLS-Listener erstellen, können Sie die Sicherheitsrichtlinie auswählen, die Ihre Anforderungen erfüllt. Wenn eine neue Sicherheitsrichtlinie hinzugefügt wird, können Sie Ihren TLS-Listener aktualisieren, sodass die neue Sicherheitsrichtlinie verwendet wird. Network Load Balancers unterstützen keine benutzerdefinierten Sicherheitsrichtlinien. Weitere Informationen finden Sie unter Sicherheitsrichtlinien für Ihren Network Load Balancer.

Die Aktualisierung der Sicherheitsrichtlinie kann zu Störungen führen, wenn der Load Balancer ein hohes Datenverkehrsvolumen verarbeitet. Um die Wahrscheinlichkeit von Störungen zu verringern, wenn Ihr Load Balancer ein hohes Datenverkehrsvolumen verarbeitet, richten Sie einen zusätzlichen Load Balancer ein, der Sie bei der Bewältigung des Datenverkehrs unterstützt, oder fordern Sie eine LCU-Reservierung an.

Console
Um die Sicherheitsrichtlinie zu aktualisieren

  1. Öffnen Sie die EC2 Amazon-Konsole unter https://console.aws.amazon.com/ec2/.

  2. Klicken Sie im Navigationsbereich auf Load Balancers.

  3. Wählen Sie den Namen des Load Balancers aus, um die Detailseite zu öffnen.

  4. Wählen Sie auf der Registerkarte Listener den Text in der Spalte Protokoll:Port aus, um die Detailseite für den Listener zu öffnen.

  5. Wählen Sie Aktionen, Listener bearbeiten.

  6. Wählen Sie im Abschnitt Sichere Listener-Einstellungen unter Sicherheitsrichtlinie eine neue Sicherheitsrichtlinie aus.

  7. Wählen Sie Änderungen speichern aus.

AWS CLI
Um die Sicherheitsrichtlinie zu aktualisieren

Verwenden Sie den Befehl modify-listener.

aws elbv2 modify-listener \
    --listener-arn listener-arn \
    --ssl-policy ELBSecurityPolicy-TLS13-1-2-Res-2021-06
CloudFormation
Um die Sicherheitsrichtlinie zu aktualisieren

Aktualisieren Sie die AWS::ElasticLoadBalancingV2::ListenerRessource mit der neuen Sicherheitsrichtlinie.

Resources:
  myTLSListener:
    Type: 'AWS::ElasticLoadBalancingV2::Listener'
    Properties:
      LoadBalancerArn: !Ref myLoadBalancer
      Protocol: TLS
      Port: 443
      SslPolicy: "ELBSecurityPolicy-TLS13-1-2-2021-06"
      Certificates:
        - CertificateArn: "default-certificate-arn"
      DefaultActions:
        - Type: forward
          TargetGroupArn: !Ref myTargetGroup

Aktualisieren der ALPN-Richtlinie

Sie können die ALPN-Richtlinie für Ihren TLS-Listener nach Bedarf aktualisieren. Weitere Informationen finden Sie unter ALPN-Richtlinien.

Console
Um die ALPN-Richtlinie zu aktualisieren

  1. Öffnen Sie die EC2 Amazon-Konsole unter https://console.aws.amazon.com/ec2/.

  2. Klicken Sie im Navigationsbereich auf Load Balancers.

  3. Wählen Sie den Namen des Load Balancers aus, um die Detailseite zu öffnen.

  4. Wählen Sie auf der Registerkarte Listener den Text in der Spalte Protokoll:Port aus, um die Detailseite für den Listener zu öffnen.

  5. Wählen Sie Aktionen, Listener bearbeiten.

  6. Wählen Sie im Abschnitt Sichere Listener-Einstellungen für ALPN-Richtlinie eine Richtlinie aus, um ALPN zu aktivieren, oder wählen Sie Keine, um ALPN zu deaktivieren.

  7. Wählen Sie Änderungen speichern aus.

AWS CLI
Um die ALPN-Richtlinie zu aktualisieren

Verwenden Sie den Befehl modify-listener.

aws elbv2 modify-listener \
    --listener-arn listener-arn \
    --alpn-policy HTTP2Preferred
CloudFormation
Um die ALPN-Richtlinie zu aktualisieren

Aktualisieren Sie die AWS::ElasticLoadBalancingV2::ListenerRessource so, dass sie die ALPN-Richtlinie enthält.

Resources:
  myTLSListener:
    Type: 'AWS::ElasticLoadBalancingV2::Listener'
    Properties:
      LoadBalancerArn: !Ref myLoadBalancer
      Protocol: TLS
      Port: 443
      SslPolicy: "ELBSecurityPolicy-TLS13-1-2-Res-2021-06"
      AlpnPolicy:
        - HTTP2Preferred
      Certificates:
        - CertificateArn: "certificate-arn"
      DefaultActions:
        - Type: forward
          TargetGroupArn: !Ref myTargetGroup