Configuración de un oyente HTTPS para el equilibrador de carga clásico - Elastic Load Balancing
Requisitos previosAgregado de un oyente HTTPS a través de la consolaAgrega un agente de escucha HTTPS mediante el AWS CLI

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configuración de un oyente HTTPS para el equilibrador de carga clásico

Un oyente es un proceso que verifica solicitudes de conexión. El oyente se configura con un protocolo y un puerto para las conexiones frontend (entre el cliente y el equilibrador de carga) y otro protocolo y otro puerto para las conexiones backend (entre el equilibrador de carga y la instancia). Para obtener más información sobre la configuración de los puertos, los protocolos y los oyentes admitidos en Elastic Load Balancing, consulte Oyentes para el equilibrador de carga clásico.

Si tiene un equilibrador de carga con un oyente que acepta solicitudes HTTP en el puerto 80, puede agregar otro oyente que acepte solicitudes HTTPS en el puerto 443. Si especifica que el oyente HTTPS debe enviar las solicitudes a las instancias a través del puerto 80, el equilibrador de carga terminará las solicitudes SSL y la comunicación entre el equilibrador de carga y las instancias que no estén cifradas. Si el oyente HTTPS envía las solicitudes a las instancias a través del puerto 443, se cifrará la comunicación entre el equilibrador de carga y las instancias.

Si el equilibrador de carga utiliza una conexión cifrada para comunicarse con las instancias, tiene la opción de habilitar la autenticación de las instancias. De este modo, se asegura de que el equilibrador de carga solamente se comunique con una instancia si su clave pública coincide con la clave especificada en el equilibrador de carga para este fin.

Para obtener información sobre la creación de un nuevo oyente HTTPS, consulte Creación de un equilibrador de carga clásico con un oyente HTTPS.

Requisitos previos

Para habilitar la compatibilidad con HTTPS en un oyente HTTPS, debe implementar un certificado de servidor SSL en el equilibrador de carga. El equilibrador de carga utiliza el certificado para terminar y descifrar las solicitudes antes de enviarlas a las instancias. Si no dispone de un certificado SSL, puede crear uno. Para obtener más información, consulte Certificados SSL/TLS para equilibradores de carga clásicos.

Agregado de un oyente HTTPS a través de la consola

Puede agregar un oyente HTTPS a un equilibrador de carga existente.

Para agregar un oyente HTTPS al equilibrador de carga a través de la consola

  1. Abre la EC2 consola de Amazon en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación, en Equilibrio de carga, elija Equilibradores de carga.

  3. Seleccione el nombre del equilibrador de carga para abrir su página de detalles.

  4. En la pestaña Oyentes, seleccione Administrar oyentes.

  5. En la página Administrar oyentes, en la sección Oyentes, seleccione Agregar oyente.

  6. En Protocolo del oyente, seleccione HTTPS.

    importante

    De manera predeterminada, el Protocolo de instancia es HTTP. Si desea configurar la autenticación de instancias backend, cambie el Protocolo de instancia a HTTPS.

  7. Para la política de seguridad, se recomienda utilizar la política de seguridad predefinida más reciente. Si necesita utilizar otra política de seguridad predefinida o crear una política personalizada, consulte Actualizar la configuración de negociación SSL.

  8. En Certificado SSL predeterminado, seleccione Editar y, a continuación, realice una de las siguientes acciones:

    • Si creó o importó un certificado utilizando ACM AWS Certificate Manager, seleccione el certificado de la lista y, a continuación, seleccione Guardar cambios.

      nota

      Esta opción solo está disponible en las regiones que admiten AWS Certificate Manager.

    • Si ha importado un certificado mediante IAM, seleccione Desde IAM, seleccione el certificado en la lista y, a continuación, haga clic en Guardar cambios.

    • Si tiene un certificado SSL para importar a ACM, seleccione Importar y A ACM. En Clave privada del certificado, copie y pegue el contenido del archivo de clave privada con codificación PEM. En Cuerpo del certificado, copie y pegue el contenido del archivo de certificado de clave pública con codificación PEM. En Cadena del certificado (opcional), copie y pegue el contenido del archivo de cadena del certificado con codificación PEM, a no ser que utilice un certificado autofirmado y no sea importante que los navegadores lo acepten implícitamente.

    • Si tiene un certificado SSL para importar pero ACM no se admite en esta región, seleccione Importar y A IAM. En Nombre del certificado, escriba el nombre del certificado. En Clave privada del certificado, copie y pegue el contenido del archivo de clave privada con codificación PEM. En Cuerpo del certificado, copie y pegue el contenido del archivo de certificado de clave pública con codificación PEM. En Cadena del certificado (opcional), copie y pegue el contenido del archivo de cadena del certificado con codificación PEM, a no ser que utilice un certificado autofirmado y no sea importante que los navegadores lo acepten implícitamente.

    • Seleccione Save changes (Guardar cambios).

  9. En Persistencia de cookie, el valor predeterminado es Desactivada. Para cambiarlo, seleccione Editar. Si selecciona Generada por el equilibrador de carga, se debe especificar un Periodo de vencimiento. Si selecciona Generada por la aplicación, se debe especificar un Nombre de cookie. Después de realizar la selección, seleccione Guardar cambios.

  10. (Opcional) Seleccione Agregar oyente para agregar oyentes adicionales.

  11. Seleccione Guardar cambios para agregar los oyentes que acaba de configurar.

  12. (Opcional) Para configurar la autenticación de instancias de fondo para un balanceador de cargas existente, debes usar la AWS CLI o una API, ya que esta tarea no es compatible con la consola. Para obtener más información, consulte Configurar la autenticación de instancias backend.

Agrega un agente de escucha HTTPS mediante el AWS CLI

Puede agregar un oyente HTTPS a un equilibrador de carga existente.

Para añadir un agente de escucha HTTPS a tu balanceador de cargas mediante el AWS CLI

  1. Obtenga el nombre de recurso de Amazon (ARN) del certificado SSL. Por ejemplo:

    ACM

    arn:aws:acm:region:123456789012:certificate/12345678-1234-1234-1234-123456789012

    IAM

    arn:aws:iam::123456789012:server-certificate/my-server-certificate

  2. Usa el siguiente create-load-balancer-listenerscomando para agregar un agente de escucha a tu balanceador de cargas que acepte solicitudes HTTPS en el puerto 443 y envíe las solicitudes a las instancias en el puerto 80 mediante HTTP:

    aws elb create-load-balancer-listeners --load-balancer-name my-load-balancer --listeners Protocol=HTTPS,LoadBalancerPort=443,InstanceProtocol=HTTP,InstancePort=80,SSLCertificateId=ARN

    Si desea configurar la autenticación de instancias backend, utilice el siguiente comando para agregar un oyente que acepte las solicitudes HTTPS en el puerto 443 y envíe las solicitudes a las instancias en el puerto 443 a través de HTTPS:

    aws elb create-load-balancer-listeners --load-balancer-name my-load-balancer --listeners Protocol=HTTPS,LoadBalancerPort=443,InstanceProtocol=HTTPS,InstancePort=443,SSLCertificateId=ARN

  3. (Opcional) Puedes usar el siguiente describe-load-balancerscomando para ver los detalles actualizados de tu balanceador de cargas:

    aws elb describe-load-balancers --load-balancer-name my-load-balancer

    A continuación, se muestra un ejemplo de respuesta:

    {
    "LoadBalancerDescriptions": [
        {
            ...
            "ListenerDescriptions": [
                {
                    "Listener": {
                        "InstancePort": 80, 
                        "SSLCertificateId": "ARN", 
                        "LoadBalancerPort": 443, 
                        "Protocol": "HTTPS", 
                        "InstanceProtocol": "HTTP"
                    }, 
                    "PolicyNames": [
                        "ELBSecurityPolicy-2016-08"
                    ]
                }, 
                {
                    "Listener": {
                        "InstancePort": 80, 
                        "LoadBalancerPort": 80, 
                        "Protocol": "HTTP", 
                        "InstanceProtocol": "HTTP"
                    }, 
                    "PolicyNames": []
                }
            ], 
            ...
        }
    ]
}

  4. (Opcional) El oyente HTTPS se creó utilizando la política de seguridad predeterminada. Si desea especificar una política de seguridad predefinida diferente o una política de seguridad personalizada, utilice los comandos create-load-balancer-policyy set-load-balancer-policies-of-listener. Para obtener más información, consulte Actualice la configuración de negociación de SSL mediante AWS CLI.

  5. (Opcional) Para configurar la autenticación de instancias de back-end, usa el comando -. set-load-balancer-policies for-backend-server Para obtener más información, consulte Configurar la autenticación de instancias backend.