Crear un oyente HTTPS para el equilibrador de carga de aplicaciones - Elastic Load Balancing
Requisitos previosAdición de un oyente HTTPS

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Crear un oyente HTTPS para el equilibrador de carga de aplicaciones

Un oyente verifica solicitudes de conexión. Los oyentes se definen cuando se crea el equilibrador de carga, pero se pueden agregar otros oyentes en cualquier momento.

Para crear un oyente de HTTPS, debe implementar al menos un certificado de servidor SSL en el equilibrador de carga. El equilibrador de carga utiliza un certificado de servidor para terminar la conexión frontend y descifrar las solicitudes de los clientes antes de enviarlas a los destinos. Debe especificar también la política de seguridad que se utiliza para negociar las conexiones seguras entre los clientes y el equilibrador de carga.

Si necesita pasar tráfico cifrado a los destinos sin que el equilibrador de carga lo descifre, se puede crear un Equilibrador de carga de red o un Equilibrador de carga clásico con un oyente TCP en el puerto 443. Con un oyente TCP, el equilibrador de carga transfiere el tráfico cifrado a los destinos sin descifrarlo.

La información de esta página le ayuda a crear un oyente HTTPS para su equilibrador de carga. Para agregar un oyente HTTPS a un equilibrador de carga, consulte Crear un oyente HTTP para su equilibrador de carga de aplicaciones.

Requisitos previos

  • Para añadir una acción de reenvío a la regla predeterminada del oyente, debe especificar un grupo de destino disponible. Para obtener más información, consulte Creación de un grupo de destino para el Equilibrador de carga de aplicación.

  • Puede especificar el mismo grupo de destino en varios oyentes, pero estos deben pertenecer al mismo equilibrador de carga. Para usar un grupo de destino con un equilibrador de carga, debe comprobar que un oyente no lo use para ningún otro equilibrador de carga.

  • Los balanceadores de carga de aplicaciones no admiten claves. ED25519

Adición de un oyente HTTPS

Se configura un agente de escucha con un protocolo y un puerto para las conexiones de los clientes al balanceador de cargas. Para obtener más información, consulte Configuración del oyente.

Al crear un agente de escucha seguro, debe especificar una política de seguridad y un certificado. Para añadir certificados a la lista de certificados, consulteAñadir certificados a la lista de certificados.

Debe configurar una regla predeterminada para el listener. Puede añadir otras reglas de escucha después de crear el oyente. Para obtener más información, consulte Reglas del oyente.

Console
Para añadir un agente de escucha HTTPS

  1. Abre la EC2 consola de Amazon en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación, seleccione Load Balancers.

  3. Seleccione el equilibrador de carga.

  4. En la pestaña Oyentes y reglas, seleccione Añadir oyente.

  5. En Protocol (Protocolo), seleccione HTTPS. Mantén el puerto predeterminado o introduce un puerto diferente.

  6. (Opcional) Para agregar una regla de autenticación, seleccione Autenticar usuarios, elija un proveedor de identidad y proporcione la información requerida. Para obtener más información, consulte Autenticación de usuarios mediante un Equilibrador de carga de aplicación.

  7. Para la acción de enrutamiento, seleccione una de las siguientes acciones de enrutamiento y proporcione la información requerida:

    • Reenviar a los grupos objetivo: elija un grupo objetivo. Para añadir otro grupo objetivo, selecciona Añadir grupo objetivo, elige un grupo objetivo, revisa los porcentajes relativos y actualiza las ponderaciones según sea necesario. Debe activar la adherencia a nivel de grupo si la ha activado en alguno de los grupos objetivo.

      Si no tiene un grupo objetivo que satisfaga sus necesidades, elija Crear grupo objetivo para crear uno ahora. Para obtener más información, consulte Crear un grupo de destino..

    • Redirigir a la URL: introduce la URL introduciendo cada parte por separado en la pestaña de partes de la URI o introduciendo la dirección completa en la pestaña URL completa. Para el código de estado, selecciona temporal (HTTP 302) o permanente (HTTP 301) según tus necesidades.

    • Devolver respuesta fija: introduce el código de respuesta que deseas devolver en el caso de solicitudes de clientes rechazadas. Si lo desea, puede especificar el tipo de contenido y el cuerpo de la respuesta.

  8. Para la política de seguridad, seleccionamos la política de seguridad recomendada. Puede seleccionar una política de seguridad diferente según sea necesario.

  9. En SSL/TLS Certificado predeterminado, elija el certificado predeterminado. También agregamos el certificado predeterminado a la lista de SNI. Puede seleccionar un certificado mediante una de las siguientes opciones:

    • De ACM: elija un certificado de Certificate (de ACM), que muestra los certificados disponibles desde. AWS Certificate Manager

    • De IAM: elija un certificado de Certificate (de IAM), que muestra los certificados a los que ha importado. AWS Identity and Access Management

    • Importar certificado: elija un destino para su certificado; importe a ACM o importe a IAM. En el caso de la clave privada del certificado, copie y pegue el contenido del archivo de clave privada (codificado en PEM). Para el cuerpo del certificado, copie y pegue el contenido del archivo de certificado de clave pública (codificado en PEM). En el caso de la cadena de certificados, copie y pegue el contenido del archivo de la cadena de certificados (codificado en PEM), a menos que utilice un certificado autofirmado y no sea importante que los navegadores acepten implícitamente el certificado.

  10. (Opcional) Para habilitar la autenticación mutua, en Gestión de certificados de cliente, habilite la autenticación mutua (mTLS).

    El modo predeterminado es el modo de acceso directo. Si selecciona Verificar con un almacén de confianza:

    • De forma predeterminada, se rechazan las conexiones con certificados de cliente vencidos. Para cambiar este comportamiento, abra la configuración avanzada de mTLS y, en Caducidad del certificado de cliente, seleccione Permitir certificados de cliente caducados.

    • Para Almacén de confianza, elija un almacén de confianza existente o elija Nuevo almacén de confianza y proporcione la información requerida.

  11. (Opcional) Para añadir etiquetas, expanda las etiquetas de Listener. Seleccione Añadir nueva etiqueta e introduzca la clave y el valor de la etiqueta.

  12. Elija Agregar oyente.

AWS CLI
Para crear un agente de escucha HTTPS

Utilice el comando create-listener. En el siguiente ejemplo, se crea un detector HTTPS con una regla predeterminada que reenvía el tráfico al grupo de destino especificado.

aws elbv2 create-listener \
    --load-balancer-arn load-balancer-arn \
    --protocol HTTPS \
    --port 443 \
    --default-actions Type=forward,TargetGroupArn=target-group-arn \
    --ssl-policy ELBSecurityPolicy-TLS13-1-2-2021-06 \
    --certificates certificate-arn
CloudFormation
Para crear un agente de escucha HTTPS

Defina un tipo AWS::ElasticLoadBalancingV2::Listenerde recurso. En el siguiente ejemplo, se crea un detector HTTPS con una regla predeterminada que reenvía el tráfico al grupo objetivo especificado.

Resources:
  myHTTPSListener:
    Type: 'AWS::ElasticLoadBalancingV2::Listener'
    Properties: 
      LoadBalancerArn: !Ref myLoadBalancer
      Protocol: HTTPS
      Port: 443
      DefaultActions:
        - Type: "forward"
          TargetGroupArn: !Ref myTargetGroup
      SslPolicy: ELBSecurityPolicy-TLS13-1-2-2021-06
      Certificates: 
        - CertificateArn: certificate-arn