Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Oyentes HTTPS para el equilibrador de carga clásico
Puedes crear un balanceador de cargas que utilice el SSL/TLS protocolo para las conexiones cifradas (también conocido como *descarga SSL*). Esta característica permite cifrar el tráfico entre el equilibrador de carga y los clientes que inician sesiones HTTPS, así como en las conexiones que se establecen entre el equilibrador de carga y las instancias EC2.
Elastic Load Balancing utiliza configuraciones de negociación de capa de conexión segura (SSL), conocidas como *políticas de seguridad*, para negociar las conexiones entre los clientes y el equilibrador de carga. Cuando lo utilices HTTPS/SSL para tus conexiones front-end, puedes usar una política de seguridad predefinida o una política de seguridad personalizada. Para ello, debe implementar un certificado SSL en el equilibrador de carga. El equilibrador de carga usará este certificado para terminar la conexión y descifrar las solicitudes de los clientes antes de enviárselas a las instancias. El equilibrador de carga utiliza un conjunto de cifrado estático para las conexiones backend. Si lo desea, también puede habilitar la autenticación de las instancias.
Los equilibradores de carga clásicos no admiten la indicación de nombre de servidor (SNI). En su lugar, puede utilizar una de las siguientes alternativas:
+ Implemente un certificado en el balanceador de cargas y añada un nombre alternativo del sujeto (SAN) para cada sitio web adicional. SANs le permiten proteger varios nombres de host mediante un único certificado. Consulte con su proveedor de certificados para obtener más información sobre el número de certificados SANs que admiten por certificado y sobre cómo añadirlos y eliminarlos SANs.
+ Utilice oyentes TCP en el puerto 443 de las conexiones frontend y backend. El equilibrador de carga transmite la solicitud tal cual, de modo que puede gestionar la terminación de HTTPS en la instancia de EC2.
Los equilibradores de carga clásicos no admiten la autenticación TLS mutua (MTLs). Para la compatibilidad con mTLS, cree un oyente TCP. El equilibrador de carga transmite la solicitud tal cual, de modo que puede implementar mTLS en la instancia de EC2.
**Topics**
+ [Certificados SSL/TLS](ssl-server-cert.md)
+ [Configuraciones de negociación SSL](elb-ssl-security-policy.md)
+ [Políticas de seguridad SSL predefinidas](elb-security-policy-table.md)
+ [Creación de un equilibrador de carga HTTPS](elb-create-https-ssl-load-balancer.md)
+ [Configuración de un oyente HTTPS](elb-add-or-delete-listeners.md)
+ [Reemplazo del certificado SSL](elb-update-ssl-cert.md)
+ [Actualización de la configuración de negociación SSL](ssl-config-update.md)
# Certificados SSL/TLS para equilibradores de carga clásicos
Si utiliza HTTPS (SSL o TLS) con el oyente frontend, debe implementar un certificado SSL/TLS en el equilibrador de carga. El equilibrador de carga usará el certificado para terminar la conexión y descifrar las solicitudes de los clientes antes de enviarlas a las instancias.
Los protocolos TLS y SSL utilizan un certificado X.509 (certificado de servidor SSL/TLS) para autenticar la aplicación cliente y la aplicación backend. Un certificado X.509 es un formulario de identificación digital emitido por una entidad de certificación (CA) y contiene información de identificación, un periodo de validez, una clave pública, un número de serie y la firma digital del emisor.
Puede crear un certificado mediante AWS Certificate Manager o una herramienta que admita los protocolos SSL y TLS, como OpenSSL. Podrá especificar este certificado cuando cree o actualice un oyente HTTPS para el equilibrador de carga. Al crear un certificado para utilizarlo con el equilibrador de carga, debe especificar un nombre de dominio.
Al crear un certificado para utilizarlo con el equilibrador de carga, debe especificar un nombre de dominio. El nombre de dominio del certificado debe coincidir con el registro del nombre de dominio personalizado. Si no coinciden, no se cifrará el tráfico, ya que no se puede verificar la conexión TLS.
Debe especificar un nombre de dominio completo (FQDN) para el certificado, por ejemplo, `www.example.com`, o bien un nombre de dominio de ápex, por ejemplo, `example.com`. También puede utilizar un asterisco (\$1) como comodín para proteger varios nombres de sitios del mismo dominio. Cuando se solicita un certificado comodín, el asterisco (\$1) debe encontrarse en la posición situada más a la izquierda del nombre de dominio, y solo puede proteger un nivel de subdominio. Por ejemplo, `*.example.com` protege `corp.example.com` y `images.example.com`, pero no puede proteger `test.login.example.com`. Además, tenga en cuenta que `*.example.com` solo protege los subdominios de `example.com`; no protege el dominio desnudo o ápex (`example.com`). El nombre comodín aparecerá en el campo **Sujeto** y en la extensión **Nombre alternativo del sujeto** del certificado. Para obtener más información sobre certificados públicos, consulte [Solicitud de un certificado público](https://docs.aws.amazon.com/acm/latest/userguide/gs-acm-request-public.html#request-public-console) en la *Guía del usuario de AWS Certificate Manager *.
## Cree o importe un certificado mediante SSL/TLS AWS Certificate Manager
Te recomendamos que utilices AWS Certificate Manager (ACM) para crear o importar certificados para tu balanceador de cargas. ACM se integra con Elastic Load Balancing, lo que le permite implementar el certificado en el equilibrador de carga. Para poder implementar un certificado en el equilibrador de carga, el certificado debe estar en la misma región que el equilibrador de carga. Para obtener más información, consulte [Solicitud de un certificado público](https://docs.aws.amazon.com/acm/latest/userguide/gs-acm-request-public.html) o [Importación de certificados](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate.html) en la *Guía del usuario de AWS Certificate Manager *.
Para permitir que un usuario pueda implementar el certificado en el equilibrador de carga a través de la Consola de administración de AWS, debe permitir el acceso a la acción de la API `ListCertificates` de ACM. Para obtener más información, consulte [Listado de certificados](https://docs.aws.amazon.com/acm/latest/userguide/security_iam_id-based-policy-examples.html#policy-list-certificates) en la *Guía del usuario de AWS Certificate Manager *.
**importante**
No puede instalar certificados con claves RSA de 4096 bits ni claves EC en el equilibrador de carga a través de la integración con ACM. Debe cargar certificados con claves RSA de 4096 bits o claves EC en IAM para utilizarlos con el equilibrador de carga.
## Importe un SSL/TLS certificado mediante IAM
Si no utiliza ACM, puede utilizar SSL/TLS herramientas, como OpenSSL, para crear una solicitud de firma de certificado (CSR), conseguir que una CA firme la CSR para generar un certificado y cargar el certificado en IAM. Para obtener más información, consulte [Working with Server Certificates](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_server-certs.html) (Trabajar con certificados de servidores) en la *Guía para el usuario de IAM*.
# Configuraciones de negociación SSL para el equilibrador de carga clásico
Elastic Load Balancing utiliza una configuración de negociación de capa de conexión segura (SSL), conocida como *política de seguridad*, para negociar las conexiones SSL entre un cliente y el equilibrador de carga. Una política de seguridad es una combinación de protocolos SSL, cifrados SSL y la opción de preferencia del orden del servidor. Para obtener más información acerca de cómo configurar una conexión SSL para el equilibrador de carga, consulte [Oyentes para el equilibrador de carga clásico](elb-listener-config.md).
**Topics**
+ [Políticas de seguridad](#security-policy-types)
+ [Protocolos SSL](#ssl-protocols)
+ [Preferencia del orden del servidor](#server-order-preference)
+ [Cifrados SSL](#ssl-ciphers)
+ [Conjunto de cifrado para conexiones backend](#elb-backend-cipher-suite)
## Políticas de seguridad
Una política de seguridad determina qué cifrados y protocolos se admiten durante las negociaciones SSL entre un cliente y un equilibrador de carga. Puede configurar los equilibradores de carga clásicos para que utilicen políticas de seguridad predefinidas o personalizadas.
Tenga en cuenta que un certificado proporcionado por AWS Certificate Manager (ACM) contiene una clave pública de RSA. Por lo tanto, si utiliza un certificado proporcionado por ACM, debe incluir en la política de seguridad un cifrado que utilice RSA; de lo contrario, la conexión TLS fallará.
**Políticas de seguridad predefinidas**
Los nombres de la versión más reciente de las políticas de seguridad predefinidas contienen información sobre el año y el mes de lanzamiento. Por ejemplo, la política de seguridad predefinida que se utiliza de forma predeterminada es `ELBSecurityPolicy-2016-08`. Siempre que se publica una nueva política de seguridad predefinida, se puede actualizar la configuración para utilizarla.
Para obtener información sobre los protocolos y cifrados habilitados para las políticas de seguridad predefinidas, consulte [Políticas de seguridad SSL predefinidas para los equilibradores de carga clásicos](elb-security-policy-table.md).
**Políticas de seguridad personalizadas**
Puede crear una configuración de negociación personalizada con los cifrados y protocolos que necesite. Por ejemplo, es posible que algunos estándares de conformidad y seguridad (como PCI y SOC) necesiten un conjunto específico de protocolos y cifrados que garanticen que se cumplen los estándares de seguridad. En estos casos, puede crear una política de seguridad personalizada que se ajuste a estos estándares.
Para obtener información sobre la creación de una política de seguridad personalizada, consulte [Actualización de la configuración de la negociación SSL del equilibrador de carga clásico](ssl-config-update.md).
## Protocolos SSL
El *protocolo SSL* establece una conexión segura entre un cliente y un servidor, y garantiza que todos los datos transferidos entre el cliente y el equilibrador de carga son privados.
Capa de conexión segura (SSL) y Transport Layer Security (TLS) son protocolos criptográficos que se usan para cifrar los datos confidenciales a través de redes que no son seguras, como Internet. El protocolo TLS es una versión más reciente del protocolo SSL. En la documentación de Elastic Load Balancing, cuando hablamos de "protocolo SSL", nos referimos tanto a SSL como TLS.
**Protocolo recomendado**
Recomendamos el protocolo TLS 1.2, que se utiliza en la ELBSecurity política de seguridad predefinida TLS-1-2-2017-01. También puede usar TLS 1.2 en sus políticas de seguridad personalizadas. La política de seguridad predeterminada es compatible con TLS 1.2 y versiones anteriores de TLS, por lo que es menos segura que la política TLS-1-2-2017-01. ELBSecurity
**Protocolo obsoleto**
Si anteriormente habilitó el protocolo SSL 2.0 en una política personalizada, le recomendamos que actualice la política de seguridad a una de las políticas de seguridad predefinidas que se usan de forma predeterminada.
## Preferencia del orden del servidor
Elastic Load Balancing admite la opción de *preferencia del orden del servidor* para negociar conexiones entre un cliente y un equilibrador de carga. Durante el proceso de negociación de conexiones SSL, el cliente y el equilibrador de carga presentan una lista con los cifrados y protocolos que admite cada uno por orden de preferencia. De forma predeterminada, el cifrado que se va a seleccionar para la conexión SSL será el primero de la lista del cliente que coincida con uno de los cifrados del equilibrador de carga. Si el equilibrador de carga está configurado para admitir la preferencia del orden del servidor, seleccionará el primer cifrado de su lista que se encuentre también en la lista del cliente. De este modo, el equilibrador de carga determina el cifrado que se utiliza con la conexión SSL. Si no se admite la preferencia del orden del servidor, el orden de cifrados presentado por el cliente se utiliza para negociar las conexiones entre el cliente y el equilibrador de carga.
## Cifrados SSL
Un *cifrado SSL* es un algoritmo de cifrado que usa claves de cifrado para crear un mensaje codificado. Los protocolos SSL usan diversos cifrados SSL para cifrar los datos a través de Internet.
Tenga en cuenta que un certificado proporcionado por AWS Certificate Manager (ACM) contiene una clave pública RSA. Por lo tanto, si utiliza un certificado proporcionado por ACM, debe incluir en la política de seguridad un cifrado que utilice RSA; de lo contrario, la conexión TLS fallará.
Elastic Load Balancing admite los siguientes cifrados para utilizar con equilibradores de carga clásicos. Las políticas SSL predefinidas utilizan un subconjunto de estos cifrados. Todos estos cifrados están disponibles para utilizarse en las políticas personalizadas. Le recomendamos que utilice solo los cifrados incluidos en la política de seguridad predeterminada (están marcados con un asterisco). Muchos de los demás cifrados no son seguros y, si los utiliza, deberá hacerlo bajo su propia responsabilidad.
**Cifrados**
+ ECDHE-ECDSA- -GCM- \$1 AES128 SHA256
+ ECDHE-RSA- AES128 -GCM- \$1 SHA256
+ ECDHE-ECDSA- AES128 - \$1 SHA256
+ ECDHE-RSA- AES128 - \$1 SHA256
+ ECDHE-ECDSA AES128 - -SHA \$1
+ ECDHE-RSA- AES128 -SHA \$1
+ DHE-RSA- AES128 -SHA
+ ECDHE-ECDSA- -GCM- \$1 AES256 SHA384
+ ECDHE-RSA- AES256 -GCM- \$1 SHA384
+ ECDHE-ECDSA- AES256 - \$1 SHA384
+ ECDHE-RSA- AES256 - \$1 SHA384
+ ECDHE-RSA AES256 - -SHA \$1
+ ECDHE-ECDSA- AES256 -SHA \$1
+ AES128-GCM- \$1 SHA256
+ AES128-SHA256 \$1
+ AES128-SHA \$1
+ AES256-GCM- \$1 SHA384
+ AES256-SHA256 \$1
+ AES256-SHA \$1
+ DHE-DSS- -SHA AES128
+ CAMELLIA128-SHA
+ EDH-RSA-DES- -SHA CBC3
+ DES- CBC3 -SHA
+ ECDHE-RSA- -SHA RC4
+ RC4-SHA
+ ECDHE-ECDSA- -SHA RC4
+ DHE-DSS- -GCM- AES256 SHA384
+ DHE-RSA- AES256 -GCM- SHA384
+ DHE-RSA- AES256 - SHA256
+ DHE-DSS- AES256 - SHA256
+ DHE-RSA- -SHA AES256
+ DHE-DSS- AES256 -SHA
+ DHE-RSA- CAMELLIA256 -SHA
+ DHE-DSS- CAMELLIA256 -SHA
+ CAMELLIA256-SHA
+ EDH-DSS-DE-SHA CBC3
+ DHE-DSS- AES128 -GCM- SHA256
+ DHE-RSA- AES128 -GCM- SHA256
+ DHE-RSA- AES128 - SHA256
+ DHE-DSS- AES128 - SHA256
+ DHE-RSA- -SHA CAMELLIA128
+ DHE-DSS- CAMELLIA128 -SHA
+ ADH- -GCM- AES128 SHA256
+ ADH- -SHA AES128
+ ADH- - AES128 SHA256
+ ADH- AES256 -GCM- SHA384
+ ADH- -SHA AES256
+ ADH- - AES256 SHA256
+ ADH- CAMELLIA128 -SHA
+ ADH- -SHA CAMELLIA256
+ ADH-DES- -SHA CBC3
+ ADH-DES-CBC-SHA
+ ADH- - RC4 MD5
+ ADH-SEED-SHA
+ DES-CBC-SHA
+ DHE-DSS-SEED-SHA
+ DHE-RSA-SEED-SHA
+ EDH-DSS-DES-CBC-SHA
+ EDH-RSA-DES-CBC-SHA
+ IDEA-CBC-SHA
+ RC4-MD5
+ SEED-SHA
+ DES- CBC3 - MD5
+ DES-CBC- MD5
+ RC2-CBC- MD5
+ PSK- -CBC-SHA AES256
+ PSK-3DES-EDE-CBC-SHA
+ KRB5CBC3-DES- -SHA
+ KRB5-DES- - CBC3 MD5
+ PSK- -CBC-SHA AES128
+ PSK- RC4 -SHA
+ KRB5- -SHA RC4
+ KRB5-RC4-MD5
+ KRB5-DES-CBC-SHA
+ KRB5-DES-CBC- MD5
+ EXP-EDH-RSA-DES-CBC-SHA
+ EXP-EDH-DSS-DES-CBC-SHA
+ EXP-ADH-DES-CBC-SHA
+ EXP-DES-CBC-SHA
+ EXP- -CBC- RC2 MD5
+ EXP- - -CBC-SHA KRB5 RC2
+ EXP KRB5 - -DE-CBC-SHA
+ EXP- - -CBC- KRB5 RC2 MD5
+ EXP- -DES-CBC- KRB5 MD5
+ RC4EXP-ADH- - MD5
+ EXP- - RC4 MD5
+ EXP- - -SHA KRB5 RC4
+ EXP- - - KRB5 RC4 MD5
\$1 Estos son los cifrados incluidos en la política de seguridad predeterminada, ELBSecurity Policy-2016-08.
## Conjunto de cifrado para conexiones backend
Los equilibradores de carga utilizan un conjunto de cifrado estático con las conexiones backend. Si su Equilibrador de carga clásico y las instancias registradas no pueden negociar una conexión, incluya uno de los siguientes cifrados.
+ AES256-GCM- SHA384
+ AES256-SHA256
+ AES256-SHA
+ CAMELLIA256-SHA
+ AES128-GCM- SHA256
+ AES128-SHA256
+ AES128-SHA
+ CAMELLIA128-SHA
+ RC4-SHA
+ DES- -SHA CBC3
+ DES-CBC-SHA
+ DHE-DSS- -GCM- AES256 SHA384
+ DHE-RSA- AES256 -GCM- SHA384
+ DHE-RSA- AES256 - SHA256
+ DHE-DSS- AES256 - SHA256
+ DHE-RSA- -SHA AES256
+ DHE-DSS- AES256 -SHA
+ DHE-RSA- CAMELLIA256 -SHA
+ DHE-DSS- CAMELLIA256 -SHA
+ DHE-DSS- -GCM- AES128 SHA256
+ DHE-RSA- AES128 -GCM- SHA256
+ DHE-RSA- AES128 - SHA256
+ DHE-DSS- AES128 - SHA256
+ DHE-RSA- -SHA AES128
+ DHE-DSS- AES128 -SHA
+ DHE-RSA- CAMELLIA128 -SHA
+ DHE-DSS- CAMELLIA128 -SHA
+ CBC3EDH-RSA-DES-SHA
+ CBC3EDH-DSS-DE-SHA
+ EDH-RSA-DES-CBC-SHA
+ EDH-DSS-DES-CBC-SHA
# Políticas de seguridad SSL predefinidas para los equilibradores de carga clásicos
Puede elegir una de las políticas de seguridad predefinidas para los oyentes HTTPS/SSL. Puede utilizar una de las políticas `ELBSecurityPolicy-TLS` para ajustarse a los estándares de seguridad y conformidad que requieren que se deshabiliten algunas versiones del protocolo TLS. Como opción, puede crear una política de seguridad personalizada. Para obtener más información, consulte [Actualización de la configuración de negociación SSL](ssl-config-update.md).
Los cifrados basados en RSA y DSA son específicos del algoritmo de firma que se utiliza para crear un certificado SSL. Asegúrese de crear un certificado SSL utilizando un algoritmo de firma basado en los cifrados que estén habilitados para su política de seguridad.
Si selecciona una política que tenga habilitada la preferencia del orden del servidor, el equilibrador de carga utilizará los cifrados en el orden en el que se especifiquen aquí para negociar las conexiones entre el cliente y el equilibrador de carga. De lo contrario, el equilibrador de carga utilizará los cifrados en el orden en el que los presenta el cliente.
En las siguientes secciones se describen las políticas de seguridad predefinidas más recientes de los equilibradores de carga clásicos, junto con los protocolos y cifrados SSL habilitados. También puede describir las políticas predefinidas mediante el [describe-load-balancer-policies](https://docs.aws.amazon.com/cli/latest/reference/elb/describe-load-balancer-policies.html)comando.
**sugerencia**
Esta información solo se aplica a los equilibradores de carga clásicos. Para obtener información que se aplique a los otros equilibradores de carga, consulte [Políticas de seguridad para el equilibrador de carga de aplicación](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/describe-ssl-policies.html) y [Políticas de seguridad para el equilibrador de carga de red](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/describe-ssl-policies.html).
**Topics**
+ [Protocolos por política](#tls-protocols)
+ [Cifrados por política](#tls-policy-ciphers)
+ [Políticas por cifrado](#tls-cipher-policies)
## Protocolos por política
En la siguiente tabla se detallan los protocolos TLS que admite cada política de seguridad.
| Políticas de seguridad | TLS 1.2 | TLS 1.1 | TLS 1.0 |
| --- | --- | --- | --- |
| ELBSecurityPolítica-TLS-1-2-2017-01 | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/elasticloadbalancing/latest/classic/images/success_icon.svg) Sí | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/elasticloadbalancing/latest/classic/images/negative_icon.svg) No | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/elasticloadbalancing/latest/classic/images/negative_icon.svg) No |
| ELBSecurityPolítica-TLS-1-1-2017-01 | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/elasticloadbalancing/latest/classic/images/success_icon.svg) Sí | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/elasticloadbalancing/latest/classic/images/success_icon.svg) Sí | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/elasticloadbalancing/latest/classic/images/negative_icon.svg) No |
| ELBSecurityPolítica-2016-08 | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/elasticloadbalancing/latest/classic/images/success_icon.svg) Sí | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/elasticloadbalancing/latest/classic/images/success_icon.svg) Sí | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/elasticloadbalancing/latest/classic/images/success_icon.svg) Sí |
| ELBSecurityPolítica-2015-05 | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/elasticloadbalancing/latest/classic/images/success_icon.svg) Sí | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/elasticloadbalancing/latest/classic/images/success_icon.svg) Sí | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/elasticloadbalancing/latest/classic/images/success_icon.svg) Sí |
| ELBSecurityPolítica-2015-03 | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/elasticloadbalancing/latest/classic/images/success_icon.svg) Sí | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/elasticloadbalancing/latest/classic/images/success_icon.svg) Sí | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/elasticloadbalancing/latest/classic/images/success_icon.svg) Sí |
| ELBSecurityPolítica-2015-02 | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/elasticloadbalancing/latest/classic/images/success_icon.svg) Sí | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/elasticloadbalancing/latest/classic/images/success_icon.svg) Sí | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/elasticloadbalancing/latest/classic/images/success_icon.svg) Sí |
## Cifrados por política
En la siguiente tabla se detallan los cifrados que admite cada política de seguridad.
| Política de seguridad | Cifrados |
| --- | --- |
| ELBSecurityPolítica-TLS-1-2-2017-01 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/elasticloadbalancing/latest/classic/elb-security-policy-table.html) |
| ELBSecurityPolítica-TLS-1-1-2017-01 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/elasticloadbalancing/latest/classic/elb-security-policy-table.html) |
| ELBSecurityPolítica-2016-08 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/elasticloadbalancing/latest/classic/elb-security-policy-table.html) |
| ELBSecurityPolítica-2015-05 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/elasticloadbalancing/latest/classic/elb-security-policy-table.html) |
| ELBSecurityPolítica-2015-03 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/elasticloadbalancing/latest/classic/elb-security-policy-table.html) |
| ELBSecurityPolítica-2015-02 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/elasticloadbalancing/latest/classic/elb-security-policy-table.html) |
## Políticas por cifrado
En la siguiente tabla se detallan las políticas de seguridad que admiten cada cifrado.
| Nombre del cifrado | Políticas de seguridad | Conjunto de cifrado |
| --- | --- | --- |
| **OpenSSL — 128-GCM** - ECDHE-ECDSA-AES SHA256 IANA — **TLS\$1ECDHE\$1ECDSA\$1CON\$1AES\$1128\$1GCM\$1** SHA256 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/elasticloadbalancing/latest/classic/elb-security-policy-table.html) | c02b |
| **OpenSSL — 128-GCM** - ECDHE-RSA-AES SHA256 IANA — **TLS\$1ECDHE\$1RSA\$1CON\$1AES\$1128\$1GCM\$1** SHA256 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/elasticloadbalancing/latest/classic/elb-security-policy-table.html) | c02f |
| **OpenSSL —** 128- ECDHE-ECDSA-AES SHA256 **IANA** — TLS\$1ECDHE\$1ECDSA\$1CON\$1AES\$1128\$1CBC\$1 SHA256 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/elasticloadbalancing/latest/classic/elb-security-policy-table.html) | c023 |
| **OpenSSL —** 128- ECDHE-RSA-AES SHA256 **IANA** — TLS\$1ECDHE\$1RSA\$1CON\$1AES\$1128\$1CBC\$1 SHA256 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/elasticloadbalancing/latest/classic/elb-security-policy-table.html) | c027 |
| ** ECDHE-ECDSA-AESOpenSSL**: 128-SHA **IANA**: TLS\$1ECDHE\$1ECDSA\$1WITH\$1AES\$1128\$1CBC\$1SHA | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/elasticloadbalancing/latest/classic/elb-security-policy-table.html) | c009 |
| ** ECDHE-RSA-AESOpenSSL**: 128-SHA **IANA**: TLS\$1ECDHE\$1RSA\$1WITH\$1AES\$1128\$1CBC\$1SHA | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/elasticloadbalancing/latest/classic/elb-security-policy-table.html) | c013 |
| **OpenSSL — 256-GCM** - ECDHE-ECDSA-AES SHA384 IANA — **TLS\$1ECDHE\$1ECDSA\$1CON\$1AES\$1256\$1GCM\$1** SHA384 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/elasticloadbalancing/latest/classic/elb-security-policy-table.html) | c02c |
| **OpenSSL — 256-GCM** - ECDHE-RSA-AES SHA384 IANA — **TLS\$1ECDHE\$1RSA\$1CON\$1AES\$1256\$1GCM\$1** SHA384 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/elasticloadbalancing/latest/classic/elb-security-policy-table.html) | c030 |
| **OpenSSL —** 256- ECDHE-ECDSA-AES SHA384 **IANA** — TLS\$1ECDHE\$1ECDSA\$1CON\$1AES\$1256\$1CBC\$1 SHA384 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/elasticloadbalancing/latest/classic/elb-security-policy-table.html) | c024 |
| **OpenSSL —** 256- ECDHE-RSA-AES SHA384 **IANA** — TLS\$1ECDHE\$1RSA\$1CON\$1AES\$1256\$1CBC\$1 SHA384 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/elasticloadbalancing/latest/classic/elb-security-policy-table.html) | c028 |
| ** ECDHE-ECDSA-AESOpenSSL**: 256-SHA **IANA**: TLS\$1ECDHE\$1RSA\$1WITH\$1AES\$1256\$1CBC\$1SHA | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/elasticloadbalancing/latest/classic/elb-security-policy-table.html) | c014 |
| ** ECDHE-RSA-AESOpenSSL**: 256-SHA **IANA**: TLS\$1ECDHE\$1ECDSA\$1WITH\$1AES\$1256\$1CBC\$1SHA | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/elasticloadbalancing/latest/classic/elb-security-policy-table.html) | c00a |
| **OpenSSL —** -GCM- AES128 SHA256 **IANA — TLS\$1RSA\$1CON\$1AES\$1128\$1GCM\$1** SHA256 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/elasticloadbalancing/latest/classic/elb-security-policy-table.html) | 9c |
| **OpenSSL —** - AES128 SHA256 **IANA** — TLS\$1RSA\$1CON\$1AES\$1128\$1CBC\$1 SHA256 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/elasticloadbalancing/latest/classic/elb-security-policy-table.html) | 3c |
| **OpenSSL — SHA** AES128 **IANA**: TLS\$1RSA\$1WITH\$1AES\$1128\$1CBC\$1SHA | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/elasticloadbalancing/latest/classic/elb-security-policy-table.html) | 2f |
| **OpenSSL —** -GCM- AES256 SHA384 **IANA — TLS\$1RSA\$1CON\$1AES\$1256\$1GCM\$1** SHA384 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/elasticloadbalancing/latest/classic/elb-security-policy-table.html) | 9d |
| **OpenSSL —** - AES256 SHA256 **IANA** — TLS\$1RSA\$1CON\$1AES\$1256\$1CBC\$1 SHA256 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/elasticloadbalancing/latest/classic/elb-security-policy-table.html) | 3d |
| **OpenSSL — SHA** AES256 **IANA**: TLS\$1RSA\$1WITH\$1AES\$1256\$1CBC\$1SHA | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/elasticloadbalancing/latest/classic/elb-security-policy-table.html) | 35 |
| ** DHE-RSA-AESOpenSSL**: 128-SHA **IANA**: TLS\$1DHE\$1RSA\$1WITH\$1AES\$1128\$1CBC\$1SHA | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/elasticloadbalancing/latest/classic/elb-security-policy-table.html) | 33 |
| ** DHE-DSS-AESOpenSSL**: 128-SHA **IANA**: TLS\$1DHE\$1DSS\$1WITH\$1AES\$1128\$1CBC\$1SHA | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/elasticloadbalancing/latest/classic/elb-security-policy-table.html) | 32 |
| **OpenSSL —** DES- -SHA CBC3 **IANA**: TLS\$1RSA\$1WITH\$13DES\$1EDE\$1CBC\$1SHA | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/elasticloadbalancing/latest/classic/elb-security-policy-table.html) | 0a |
# Creación de un equilibrador de carga clásico con un oyente HTTPS
Un equilibrador de carga toma las solicitudes de los clientes y las distribuye a través de las instancias EC2 que están registradas con el equilibrador de carga.
Puede crear un equilibrador de carga capaz de detectar solicitudes en los puertos HTTP (80) y HTTPS (443). Si especifica que el oyente HTTPS debe enviar las solicitudes a las instancias a través del puerto 80, el equilibrador de carga terminará las solicitudes y la comunicación que tengan como destino instancias que no estén cifradas. Si el oyente HTTPS envía las solicitudes a las instancias a través del puerto 443, se cifrará la comunicación entre el equilibrador de carga y las instancias.
Si el equilibrador de carga utiliza una conexión cifrada para comunicarse con las instancias, es posible habilitar la autenticación de las instancias. De este modo, se asegura de que el equilibrador de carga solamente se comunique con una instancia si su clave pública coincide con la clave especificada en el equilibrador de carga para este fin.
Si desea obtener más información acerca de cómo incorporar un oyente HTTPS a un equilibrador de carga existente, consulte [Configuración de un oyente HTTPS para el equilibrador de carga clásico](elb-add-or-delete-listeners.md).
**Topics**
+ [Requisitos previos](#elb-https-ssl-prerequisites)
+ [Creación de un equilibrador de carga HTTPS a través de la consola](#create-https-lb-console)
+ [Cree un balanceador de cargas HTTPS mediante el AWS CLI](#create-https-lb-clt)
## Requisitos previos
Antes de empezar, asegúrese de que cumple los siguientes requisitos:
+ Realice los pasos que se indican en [Recomendaciones para su VPC](elb-backend-instances.md#set-up-ec2).
+ Lance las instancias EC2 que desee registrar con el equilibrador de carga. Los grupos de seguridad de estas instancias deben permitir el tráfico procedente del equilibrador de carga.
+ Las instancias EC2 deben responder al destino de la comprobación de estado con el código de estado HTTP 200. Para obtener más información, consulte [Comprobación de estado de las instancias del Equilibrador de carga clásico](elb-healthchecks.md).
+ Si tiene previsto habilitar la opción keep-alive en las instancias EC2, le recomendamos que establezca el valor de keep-alive al menos en el valor del período de inactividad del equilibrador de carga. Si desea asegurarse de que el equilibrador de carga es el que se encarga de cerrar las conexiones con la instancia, asegúrese de que el valor definido en la instancia para el tiempo de keep-alive es mayor que el período de inactividad del equilibrador de carga. Para obtener más información, consulte [Configuración del tiempo de inactividad de conexión del equilibrador de carga clásico](config-idle-timeout.md).
+ Si crea un oyente seguro, debe implementar un certificado de servidor SSL en el equilibrador de carga. El equilibrador de carga utiliza el certificado para terminar y descifrar las solicitudes antes de enviarlas a las instancias. Si no dispone de un certificado SSL, puede crear uno. Para obtener más información, consulte [Certificados SSL/TLS para equilibradores de carga clásicos](ssl-server-cert.md).
## Creación de un equilibrador de carga HTTPS a través de la consola
En este ejemplo, va a configurar dos oyentes para el equilibrador de carga. El primer oyente acepta solicitudes HTTP en el puerto 80 y las envía a las instancias a través del puerto 80 mediante HTTP. El segundo oyente acepta solicitudes HTTPS en el puerto 443 y las envía a las instancias mediante HTTP a través del puerto 80 (o mediante HTTPS a través del puerto 443 si desea configurar la autenticación de instancias backend).
Un *oyente* es un proceso que verifica solicitudes de conexión. El oyente se configura con un protocolo y un puerto para las conexiones frontend (entre el cliente y el equilibrador de carga) y otro protocolo y otro puerto para las conexiones backend (entre el equilibrador de carga y la instancia). Para obtener más información sobre la configuración de los puertos, los protocolos y los oyentes admitidos en Elastic Load Balancing, consulte [Oyentes para el equilibrador de carga clásico](elb-listener-config.md).
**Para crear un Equilibrador de carga clásico seguro mediante la consola**
1. Abra la consola de Amazon EC2 en [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. En la barra de navegación, elija una región para el equilibrador de carga. No olvide seleccionar la misma región que seleccionó para las instancias EC2.
1. En el panel de navegación, en **Load Balancing** (Equilibrio de carga), elija **Load Balancers** (Equilibradores de carga).
1. Elija **Crear equilibrador de carga**.
1. Amplíe la sección **Equilibrador de carga clásico** y, a continuación, seleccione **Crear**.
1. **Configuración básica**
1. En **Nombre del equilibrador de carga**, escriba un nombre para el equilibrador de carga.
El nombre del equilibrador de carga clásico debe ser único en el conjunto de equilibradores de carga clásicos de la región, puede tener un máximo de 32 caracteres, solo puede contener caracteres alfanuméricos y guiones y no puede comenzar ni finalizar con un guion.
1. En **Esquema**, seleccione **Orientado a Internet**.
1. **Asignación de redes**
1. En **VPC**, seleccione la misma VPC que haya seleccionado para las instancias.
1. En **Asignaciones**, primero seleccione una zona de disponibilidad, y luego una subred pública de las subredes disponibles de esta. Solo puede seleccionar una subred por cada zona de disponibilidad. Para mejorar la disponibilidad del equilibrador de carga, seleccione más de una zona de disponibilidad y subred.
1. **Grupos de seguridad**
1. En **Grupos de seguridad**, seleccione un grupo de seguridad existente que esté configurado para permitir el tráfico HTTP requerido en el puerto 80 y el tráfico HTTPS en el puerto 443.
Si no existe ninguno, puede crear un nuevo grupo de seguridad con las reglas necesarias.
1. **Los oyentes y el enrutamiento**
1. Deje el oyente predeterminado con la configuración predeterminada y seleccione **Agregar oyente**.
1. En **Oyente**, en el nuevo oyente, seleccione `HTTPS` como protocolo y el puerto se actualizará a `443`. De manera predeterminada, **Instancia** utiliza el protocolo `HTTP` en el puerto `80`.
1. Si se necesita autenticación de backend, cambie el protocolo de **Instancia** a `HTTPS`. Esto también actualizará el puerto de **Instancia** a `443`.
1. **Configuración de oyente seguro**
Si utiliza HTTPS o SSL con el oyente frontend, debe implementar un certificado SSL en el equilibrador de carga. El equilibrador de carga usará el certificado para terminar la conexión y descifrar las solicitudes de los clientes antes de enviarlas a las instancias. Asimismo, debe especificar una política de seguridad. Elastic Load Balancing proporciona políticas de seguridad que tienen configuraciones de negociación SSL predefinidas, pero también puede crear su propia política de seguridad personalizada. Si la configuró HTTPS/SSL en la conexión de back-end, puede habilitar la autenticación de sus instancias.
1. Para la **política de seguridad**, se recomienda utilizar siempre la política de seguridad predefinida más reciente o crear una personalizada. Consulte [Actualización de la configuración de negociación SSL](ssl-config-update.md#ssl-config-update-console).
1. Para el ** SSL/TLS certificado predeterminado**, están disponibles las siguientes opciones:
+ Si creó o importó un certificado utilizando AWS Certificate Manager, seleccione **Desde ACM** y, a continuación, seleccione el certificado en **Seleccionar un certificado**.
+ Si ha importado un certificado mediante IAM, seleccione **Desde IAM** y, a continuación, seleccione el certificado en **Seleccionar un certificado**.
+ Si tiene un certificado para importar pero ACM no está disponible en su región, seleccione **Importar** y, a continuación, **A IAM**. Escriba el nombre del certificado en el campo **Nombre del certificado**. En **Clave privada del certificado**, copie y pegue el contenido del archivo de clave privada (con codificación PEM). En **Cuerpo del certificado**, copie y pegue el contenido del archivo de certificado de clave pública (con codificación PEM). En **Cadena del certificado**, copie y pegue el contenido del archivo de cadena del certificado (con codificación PEM), a no ser que utilice un certificado autofirmado y no sea importante que los navegadores acepten implícitamente dicho certificado.
1. (Opcional) Si ha configurado el oyente HTTPS para que se comunique con las instancias a través de una conexión cifrada, tiene la opción de configurar la autenticación de las instancias en **Certificado de autenticación de backend**.
**nota**
Si no ve la sección **Certificado de autenticación de backend**, vuelva a **Oyentes y enrutamiento** y seleccione `HTTPS` como protocolo para **Instancia**.
1. En Nombre de certificado, escriba el nombre del certificado de clave pública.
1. En **Cuerpo del certificado (con codificación PEM)**, copie y pegue el contenido del certificado. El equilibrador de carga solamente se comunica con una instancia si su clave pública coincide con esta clave.
1. Para agregar otro certificado, seleccione **Agregar nuevo certificado de backend**. El límite es cinco.
1. **Comprobaciones de estado**
1. En la sección **Destino de ping**, seleccione un **Protocolo de ping** y un **Puerto de ping**. Las instancias de EC2 deben aceptar tráfico en el puerto de ping especificado.
1. En **Puerto de ping**, asegúrese de que el puerto sea `80`.
1. En **Ruta de ping**, sustituya el valor predeterminado por una barra diagonal (`/`). Esto le indica a Elastic Load Balancing que envíe solicitudes de comprobación de estado a la página de inicio predeterminada del servidor web; por ejemplo, `index.html`.
1. En **Configuración avanzada de comprobación de estado**, utilice los valores predeterminados.
1. **Instancias**
1. Seleccione **Agregar instancias** para que aparezca la pantalla de selección de instancias.
1. En **Instancias disponibles** puede seleccionar entre las instancias actuales que estén disponibles para el equilibrador de carga, en función de la configuración de red seleccionada anteriormente.
1. Cuando las selecciones le parezcan adecuadas, seleccione **Confirmar** para agregar las instancias que se deben registrar al equilibrador de carga.
1. **Atributos**
1. En **Habilitar equilibrio de carga entre zonas**, **Habilitar drenaje de conexiones** y **Tiempo de espera (intervalo de drenaje)**, mantenga los valores predeterminados.
1. **Etiquetas del equilibrador de carga (opcionales)**
1. El campo **Clave** es obligatorio.
1. El campo **Valor** es opcional.
1. Para agregar otra etiqueta, seleccione **Agregar nueva etiqueta** y, a continuación, ingrese los valores en el campo **Clave** y, opcionalmente, en el campo **Valor**.
1. Para eliminar una etiqueta existente, seleccione **Eliminar** junto a la etiqueta que desee eliminar.
1. **Resumen y creación**
1. Si necesita cambiar alguna configuración, seleccione **Editar** junto a la configuración que sea necesario modificar.
1. Cuando todas las configuraciones mostradas en el resumen le parezcan adecuadas, seleccione **Crear equilibrador de carga** para comenzar con la creación del equilibrador de carga.
1. En la última página del proceso de creación, seleccione **Ver equilibrador de carga** para observar el equilibrador de carga en la consola de Amazon EC2.
1. **Verificar**
1. Seleccione el nuevo equilibrador de carga.
1. En la pestaña **Instancias de destino**, compruebe la columna **Estado**. Cuando al menos una de las instancias de EC2 esté **Operativa**, puede probar el equilibrador de carga.
1. En la sección **Detalles**, copie el **Nombre de DNS** del equilibrador de carga, que debe parecerse a `my-load-balancer-1234567890.us-east-1.elb.amazonaws.com`.
1. Pegue el **Nombre de DNS** del equilibrador de carga en el campo de direcciones de un navegador web conectado a la Internet pública. Si el equilibrador de carga funciona correctamente, verá la página predeterminada del servidor.
1. **Eliminar (opcional)**
1. Si tiene un registro CNAME para el dominio que señala al equilibrador de carga, apúntelo hacia una nueva ubicación y espere a que surta efecto el cambio de DNS antes de eliminar el equilibrador de carga.
1. Abra la consola de Amazon EC2 en [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Seleccione el equilibrador de carga.
1. Seleccione **Acciones**, **Eliminar equilibrador de carga**.
1. Cuando se le pida confirmación, escriba `confirm` y seleccione **Eliminar**.
1. Cuando se elimina un equilibrador de carga, las instancias de EC2 que estén registradas con él siguen ejecutándose. Se le facturará cada hora parcial o completa que sigan ejecutándose. Cuando ya no necesite una instancia de EC2, puede detenerla o finalizarla para evitar que se produzcan cargos adicionales.
## Cree un balanceador de cargas HTTPS mediante el AWS CLI
Sigue las siguientes instrucciones para crear un HTTPS/SSL balanceador de cargas con. AWS CLI
**Topics**
+ [Paso 1: Configurar los oyentes](#configuring_listener_clt)
+ [Paso 2: Configurar la política de seguridad SSL](#configure_ciphers_clt)
+ [Paso 3: Configurar la autenticación de instancias backend (opcional)](#configure_backendauth_clt)
+ [Paso 4: Configurar comprobaciones de estado (opcional)](#configure_healthcheck_clt)
+ [Paso 5: Registrar instancias EC2](#add_ec2instances_clt)
+ [Paso 6: Comprobar las instancias](#verify-ec2instances-clt)
+ [Paso 7: Eliminar el equilibrador de carga (opcional)](#us-tearing-lb-cli)
### Paso 1: Configurar los oyentes
Un *oyente* es un proceso que verifica solicitudes de conexión. El oyente se configura con un protocolo y un puerto para las conexiones frontend (entre el cliente y el equilibrador de carga) y otro protocolo y otro puerto para las conexiones backend (entre el equilibrador de carga y la instancia). Para obtener más información sobre la configuración de los puertos, los protocolos y los oyentes admitidos en Elastic Load Balancing, consulte [Oyentes para el equilibrador de carga clásico](elb-listener-config.md).
En este ejemplo, va a configurar dos oyentes del equilibrador de carga especificando los puertos y los protocolos que se van a usar para las conexiones frontend y backend. El primer oyente acepta solicitudes HTTP en el puerto 80 y envía solicitudes a las instancias a través del puerto 80 mediante HTTP. El segundo oyente acepta solicitudes HTTPS en el puerto 443 y envía solicitudes de las instancias mediante HTTP a través del puerto 80.
Como el segundo oyente utiliza HTTPS para la conexión frontend, debe implementar un certificado de servidor SSL en el equilibrador de carga. El equilibrador de carga utiliza el certificado para terminar y descifrar las solicitudes antes de enviarlas a las instancias.
**Si desea configurar oyentes para su equilibrador de carga**
1. Obtenga el nombre de recurso de Amazon (ARN) del certificado SSL. Por ejemplo:
**ACM**
```
arn:aws:acm:region:123456789012:certificate/12345678-1234-1234-1234-123456789012
```
**IAM**
```
arn:aws:iam::123456789012:server-certificate/my-server-certificate
```
1. Usa el siguiente [create-load-balancer](https://docs.aws.amazon.com/cli/latest/reference/elb/create-load-balancer.html)comando para configurar el balanceador de carga con los dos oyentes:
```
aws elb create-load-balancer --load-balancer-name my-load-balancer --listeners "Protocol=http,LoadBalancerPort=80,InstanceProtocol=http,InstancePort=80" "Protocol=https,LoadBalancerPort=443,InstanceProtocol=http,InstancePort=80,SSLCertificateId="ARN" --availability-zones us-west-2a
```
A continuación, se muestra un ejemplo de respuesta:
```
{
"DNSName": "my-loadbalancer-012345678.us-west-2.elb.amazonaws.com"
}
```
1. (Opcional) Usa el siguiente [describe-load-balancers](https://docs.aws.amazon.com/cli/latest/reference/elb/describe-load-balancers.html)comando para ver los detalles del balanceador de cargas:
```
aws elb describe-load-balancers --load-balancer-name my-load-balancer
```
### Paso 2: Configurar la política de seguridad SSL
Puede seleccionar una de las políticas de seguridad predefinidas o crear su propia política de seguridad personalizada. De lo contrario, Elastic Load Balancing configurará el equilibrador de carga con la política de seguridad predefinida, `ELBSecurityPolicy-2016-08`. Para obtener más información, consulte [Configuraciones de negociación SSL para el equilibrador de carga clásico](elb-ssl-security-policy.md).
**Para comprobar si el equilibrador de carga está asociado a la política de seguridad predeterminada**
Utilice el siguiente comando [describe-load-balancers](https://docs.aws.amazon.com/cli/latest/reference/elb/describe-load-balancers.html):
```
aws elb describe-load-balancers --load-balancer-name my-loadbalancer
```
A continuación, se muestra un ejemplo de respuesta. Observe que `ELBSecurityPolicy-2016-08` está asociada con el equilibrador de carga en el puerto 443.
```
{
"LoadBalancerDescriptions": [
{
...
"ListenerDescriptions": [
{
"Listener": {
"InstancePort": 80,
"SSLCertificateId": "ARN",
"LoadBalancerPort": 443,
"Protocol": "HTTPS",
"InstanceProtocol": "HTTP"
},
"PolicyNames": [
"ELBSecurityPolicy-2016-08"
]
},
{
"Listener": {
"InstancePort": 80,
"LoadBalancerPort": 80,
"Protocol": "HTTP",
"InstanceProtocol": "HTTP"
},
"PolicyNames": []
}
],
...
}
]
}
```
Si lo prefiere, puede configurar la política de seguridad SSL del equilibrador de carga en lugar de utilizar la predeterminada.
**(Opcional) Para utilizar una política de seguridad SSL predefinida**
1. Use el siguiente [describe-load-balancer-policies](https://docs.aws.amazon.com/cli/latest/reference/elb/describe-load-balancer-policies.html)comando para enumerar los nombres de las políticas de seguridad predefinidas:
```
aws elb describe-load-balancer-policies
```
Para obtener información sobre la configuración de las políticas de seguridad predefinidas, consulte [Políticas de seguridad SSL predefinidas para los equilibradores de carga clásicos](elb-security-policy-table.md).
1. Utilice el siguiente [create-load-balancer-policy](https://docs.aws.amazon.com/cli/latest/reference/elb/create-load-balancer-policy.html)comando para crear una política de negociación de SSL mediante una de las políticas de seguridad predefinidas que describió en el paso anterior:
```
aws elb create-load-balancer-policy --load-balancer-name my-loadbalancer
--policy-name my-SSLNegotiation-policy --policy-type-name SSLNegotiationPolicyType
--policy-attributes AttributeName=Reference-Security-Policy,AttributeValue=predefined-policy
```
1. (Opcional) Utilice el siguiente [describe-load-balancer-policies](https://docs.aws.amazon.com/cli/latest/reference/elb/describe-load-balancer-policies.html)comando para comprobar que se ha creado la política:
```
aws elb describe-load-balancer-policies --load-balancer-name my-loadbalancer --policy-name my-SSLNegotiation-policy
```
La respuesta incluye la descripción de la política.
1. Use el siguiente comando [set-load-balancer-policies-of-listener](https://docs.aws.amazon.com/cli/latest/reference/elb/set-load-balancer-policies-of-listener.html) para habilitar la política en el puerto 443 del balanceador de carga:
```
aws elb set-load-balancer-policies-of-listener --load-balancer-name my-loadbalancer --load-balancer-port 443 --policy-names my-SSLNegotiation-policy
```
**nota**
El comando `set-load-balancer-policies-of-listener` reemplaza el conjunto de políticas que se aplican actualmente en el puerto del equilibrador de carga especificado por el conjunto de políticas proporcionado. La lista `--policy-names` debería incluir todas las políticas que se van a habilitar. Si se omite una política que actualmente está habilitada, se desactivará.
1. (Opcional) Utilice el siguiente [describe-load-balancers](https://docs.aws.amazon.com/cli/latest/reference/elb/describe-load-balancers.html)comando para comprobar que la política esté habilitada:
```
aws elb describe-load-balancers --load-balancer-name my-loadbalancer
```
En el siguiente ejemplo, se muestra que la política está habilitada en el puerto 443.
```
{
"LoadBalancerDescriptions": [
{
....
"ListenerDescriptions": [
{
"Listener": {
"InstancePort": 80,
"SSLCertificateId": "ARN",
"LoadBalancerPort": 443,
"Protocol": "HTTPS",
"InstanceProtocol": "HTTP"
},
"PolicyNames": [
"my-SSLNegotiation-policy"
]
},
{
"Listener": {
"InstancePort": 80,
"LoadBalancerPort": 80,
"Protocol": "HTTP",
"InstanceProtocol": "HTTP"
},
"PolicyNames": []
}
],
...
}
]
}
```
Cuando cree una política de seguridad personalizada, debe habilitar al menos un protocolo y un cifrado. Los cifrados DSA y RSA son específicos del algoritmo de firma y se utilizan para crear el certificado SSL. Si ya tiene un certificado SSL, asegúrese de habilitar el cifrado que se usó para crearlo. El nombre de la política personalizada no debe comenzar por `ELBSecurityPolicy-` ni `ELBSample-`, ya que estos prefijos están reservados para los nombres de las políticas de seguridad predefinidas.
**(Opcional) Para utilizar una política de seguridad SSL personalizada**
1. Utilice el [create-load-balancer-policy](https://docs.aws.amazon.com/cli/latest/reference/elb/create-load-balancer-policy.html)comando para crear una política de negociación de SSL mediante una política de seguridad personalizada. Por ejemplo:
```
aws elb create-load-balancer-policy --load-balancer-name my-loadbalancer
--policy-name my-SSLNegotiation-policy --policy-type-name SSLNegotiationPolicyType
--policy-attributes AttributeName=Protocol-TLSv1.2,AttributeValue=true
AttributeName=Protocol-TLSv1.1,AttributeValue=true
AttributeName=DHE-RSA-AES256-SHA256,AttributeValue=true
AttributeName=Server-Defined-Cipher-Order,AttributeValue=true
```
1. (Opcional) Utilice el siguiente [describe-load-balancer-policies](https://docs.aws.amazon.com/cli/latest/reference/elb/describe-load-balancer-policies.html)comando para comprobar que se ha creado la política:
```
aws elb describe-load-balancer-policies --load-balancer-name my-loadbalancer --policy-name my-SSLNegotiation-policy
```
La respuesta incluye la descripción de la política.
1. Use el siguiente comando [set-load-balancer-policies-of-listener](https://docs.aws.amazon.com/cli/latest/reference/elb/set-load-balancer-policies-of-listener.html) para habilitar la política en el puerto 443 del balanceador de carga:
```
aws elb set-load-balancer-policies-of-listener --load-balancer-name my-loadbalancer --load-balancer-port 443 --policy-names my-SSLNegotiation-policy
```
**nota**
El comando `set-load-balancer-policies-of-listener` reemplaza el conjunto de políticas que se aplican actualmente en el puerto del equilibrador de carga especificado por el conjunto de políticas proporcionado. La lista `--policy-names` debería incluir todas las políticas que se van a habilitar. Si se omite una política que actualmente está habilitada, se desactivará.
1. (Opcional) Utilice el siguiente [describe-load-balancers](https://docs.aws.amazon.com/cli/latest/reference/elb/describe-load-balancers.html)comando para comprobar que la política esté habilitada:
```
aws elb describe-load-balancers --load-balancer-name my-loadbalancer
```
En el siguiente ejemplo, se muestra que la política está habilitada en el puerto 443.
```
{
"LoadBalancerDescriptions": [
{
....
"ListenerDescriptions": [
{
"Listener": {
"InstancePort": 80,
"SSLCertificateId": "ARN",
"LoadBalancerPort": 443,
"Protocol": "HTTPS",
"InstanceProtocol": "HTTP"
},
"PolicyNames": [
"my-SSLNegotiation-policy"
]
},
{
"Listener": {
"InstancePort": 80,
"LoadBalancerPort": 80,
"Protocol": "HTTP",
"InstanceProtocol": "HTTP"
},
"PolicyNames": []
}
],
...
}
]
}
```
### Paso 3: Configurar la autenticación de instancias backend (opcional)
Si la configuras HTTPS/SSL en la conexión de back-end, puedes configurar de forma opcional la autenticación de tus instancias.
Cuando configure la autenticación de instancias backend, debe crear una política de clave pública. A continuación, utilizará esta política de clave pública para crear una política de autenticación de las instancias backend. Por último, configurará esta política de autenticación con el puerto de la instancia establecido para el protocolo HTTPS.
El equilibrador de carga solamente se comunica con una instancia si la clave pública que la instancia presenta al equilibrador de carga coincide con una clave pública de la política de autenticación del equilibrador de carga.
**Para configurar la autenticación de instancias backend**
1. Utilice el siguiente comando para recuperar la clave pública:
```
openssl x509 -in your X509 certificate PublicKey -pubkey -noout
```
1. Usa el siguiente [create-load-balancer-policy](https://docs.aws.amazon.com/cli/latest/reference/elb/create-load-balancer-policy.html)comando para crear una política de clave pública:
```
aws elb create-load-balancer-policy --load-balancer-name my-loadbalancer --policy-name my-PublicKey-policy \
--policy-type-name PublicKeyPolicyType --policy-attributes AttributeName=PublicKey,AttributeValue=MIICiTCCAfICCQD6m7oRw0uXOjANBgkqhkiG9w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```
**nota**
Para especificar un valor de clave pública para `--policy-attributes`, elimine la primera y última línea de la clave pública (las líneas que contienen "`-----BEGIN PUBLIC KEY-----`" y "`-----END PUBLIC KEY-----`"). AWS CLI No acepta espacios en blanco`--policy-attributes`.
1. Use el siguiente [create-load-balancer-policy](https://docs.aws.amazon.com/cli/latest/reference/elb/create-load-balancer-policy.html)comando para crear una política de autenticación de instancias de back-end mediante. `my-PublicKey-policy`
```
aws elb create-load-balancer-policy --load-balancer-name my-loadbalancer --policy-name my-authentication-policy --policy-type-name BackendServerAuthenticationPolicyType --policy-attributes AttributeName=PublicKeyPolicyName,AttributeValue=my-PublicKey-policy
```
Si lo desea, también puede utilizar varias políticas de clave pública. El equilibrador de carga prueba todas las claves de una en una. Si la clave pública que presenta una instancia coincide con una de estas claves públicas, la instancia queda autenticada.
1. Usa el siguiente for-backend-server comando [set-load-balancer-policies:](https://docs.aws.amazon.com/cli/latest/reference/elb/set-load-balancer-policies-for-backend-server.html) para establecer el puerto `my-authentication-policy` de la instancia para HTTPS. En este ejemplo, este puerto es el 443.
```
aws elb set-load-balancer-policies-for-backend-server --load-balancer-name my-loadbalancer --instance-port 443 --policy-names my-authentication-policy
```
1. (Opcional) Usa el siguiente [describe-load-balancer-policies](https://docs.aws.amazon.com/cli/latest/reference/elb/describe-load-balancer-policies.html)comando para enumerar todas las políticas de tu balanceador de carga:
```
aws elb describe-load-balancer-policies --load-balancer-name my-loadbalancer
```
1. (Opcional) Usa el siguiente [describe-load-balancer-policies](https://docs.aws.amazon.com/cli/latest/reference/elb/describe-load-balancer-policies.html)comando para ver los detalles de la política:
```
aws elb describe-load-balancer-policies --load-balancer-name my-loadbalancer --policy-names my-authentication-policy
```
### Paso 4: Configurar comprobaciones de estado (opcional)
Elastic Load Balancing comprueba periódicamente el estado de cada instancia EC2 registrada utilizando las comprobaciones de estado configuradas. Si Elastic Load Balancing encuentra una instancia en mal estado, deja de enviar tráfico a dicha instancia y lo enruta a las instancias en buen estado. Para obtener más información, consulte [Comprobación de estado de las instancias del Equilibrador de carga clásico](elb-healthchecks.md).
Cuando crea el equilibrador de carga, Elastic Load Balancing utiliza la configuración predeterminada para las comprobaciones de estado. No obstante, si lo prefiere, puede modificar la configuración de las comprobaciones de estado del equilibrador de carga en lugar de utilizar la configuración predeterminada.
**Para configurar las comprobaciones de estado de las instancias**
Utilice el siguiente comando [configure-health-check](https://docs.aws.amazon.com/cli/latest/reference/elb/configure-health-check.html):
```
aws elb configure-health-check --load-balancer-name my-loadbalancer --health-check Target=HTTP:80/ping,Interval=30,UnhealthyThreshold=2,HealthyThreshold=2,Timeout=3
```
A continuación, se muestra un ejemplo de respuesta:
```
{
"HealthCheck": {
"HealthyThreshold": 2,
"Interval": 30,
"Target": "HTTP:80/ping",
"Timeout": 3,
"UnhealthyThreshold": 2
}
}
```
### Paso 5: Registrar instancias EC2
Una vez que ha creado el equilibrador de carga, debe registrar las instancias EC2 con él. Puede seleccionar las instancias EC2 de una única zona de disponibilidad o de varias zonas de disponibilidad de la misma región que la del equilibrador de carga. Para obtener más información, consulte [Instancias registradas en el equilibrador de carga clásico](elb-backend-instances.md).
Utilice el comando [register-instances-with-load-balancer](https://docs.aws.amazon.com/cli/latest/reference/elb/register-instances-with-load-balancer.html) de la siguiente manera:
```
aws elb register-instances-with-load-balancer --load-balancer-name my-loadbalancer --instances i-4f8cf126 i-0bb7ca62
```
A continuación, se muestra un ejemplo de respuesta:
```
{
"Instances": [
{
"InstanceId": "i-4f8cf126"
},
{
"InstanceId": "i-0bb7ca62"
}
]
}
```
### Paso 6: Comprobar las instancias
El equilibrador de carga podrá usarse en cuanto una de las instancias registradas tenga el estado `InService`.
Para comprobar el estado de las instancias EC2 recién registradas, utilice el siguiente comando: [describe-instance-health](https://docs.aws.amazon.com/cli/latest/reference/elb/describe-instance-health.html)
```
aws elb describe-instance-health --load-balancer-name my-loadbalancer --instances i-4f8cf126 i-0bb7ca62
```
A continuación, se muestra un ejemplo de respuesta:
```
{
"InstanceStates": [
{
"InstanceId": "i-4f8cf126",
"ReasonCode": "N/A",
"State": "InService",
"Description": "N/A"
},
{
"InstanceId": "i-0bb7ca62",
"ReasonCode": "Instance",
"State": "OutOfService",
"Description": "Instance registration is still in progress"
}
]
}
```
Si el campo `State` de una instancia tiene el valor `OutOfService`, lo más probable es que las instancias estén aún en proceso de registro. Para obtener más información, consulte [Solución de problemas del equilibrador de carga clásico: registro de instancias](ts-elb-register-instance.md).
Cuando al menos una de las instancias pasa al estado `InService`, se puede probar el equilibrador de carga. Para probar el equilibrador de carga, copie su nombre DNS y péguelo en el campo de direcciones de un navegador web que esté conectado a Internet. Si el equilibrador de carga está en ejecución, consulte la página predeterminada del servidor HTTP.
### Paso 7: Eliminar el equilibrador de carga (opcional)
Si elimina un equilibrador de carga, automáticamente se anulará el registro de las instancias EC2 asociadas. Tan pronto como se elimina el equilibrador de carga, dejan de aplicarse cargos por él. Sin embargo, las instancias EC2 continúan en ejecución y, por tanto, siguen aplicándose cargos por ellas.
Para eliminar el balanceador de cargas, usa el siguiente comando: [delete-load-balancer](https://docs.aws.amazon.com/cli/latest/reference/elb/delete-load-balancer.html)
```
aws elb delete-load-balancer --load-balancer-name my-loadbalancer
```
Para detener las instancias EC2, utilice el comando [stop-instances](https://docs.aws.amazon.com/cli/latest/reference/ec2/stop-instances.html). Para terminar las instancias EC2, utilice el comando [terminate-instances](https://docs.aws.amazon.com/cli/latest/reference/ec2/terminate-instances.html).
# Configuración de un oyente HTTPS para el equilibrador de carga clásico
Un *oyente* es un proceso que verifica solicitudes de conexión. El oyente se configura con un protocolo y un puerto para las conexiones frontend (entre el cliente y el equilibrador de carga) y otro protocolo y otro puerto para las conexiones backend (entre el equilibrador de carga y la instancia). Para obtener más información sobre la configuración de los puertos, los protocolos y los oyentes admitidos en Elastic Load Balancing, consulte [Oyentes para el equilibrador de carga clásico](elb-listener-config.md).
Si tiene un equilibrador de carga con un oyente que acepta solicitudes HTTP en el puerto 80, puede agregar otro oyente que acepte solicitudes HTTPS en el puerto 443. Si especifica que el oyente HTTPS debe enviar las solicitudes a las instancias a través del puerto 80, el equilibrador de carga terminará las solicitudes SSL y la comunicación entre el equilibrador de carga y las instancias que no estén cifradas. Si el oyente HTTPS envía las solicitudes a las instancias a través del puerto 443, se cifrará la comunicación entre el equilibrador de carga y las instancias.
Si el equilibrador de carga utiliza una conexión cifrada para comunicarse con las instancias, tiene la opción de habilitar la autenticación de las instancias. De este modo, se asegura de que el equilibrador de carga solamente se comunique con una instancia si su clave pública coincide con la clave especificada en el equilibrador de carga para este fin.
Para obtener información sobre la creación de un nuevo oyente HTTPS, consulte [Creación de un equilibrador de carga clásico con un oyente HTTPS](elb-create-https-ssl-load-balancer.md).
**Topics**
+ [Requisitos previos](#add-listener-prerequisites)
+ [Agregado de un oyente HTTPS a través de la consola](#add-listener-console)
+ [Agrega un agente de escucha HTTPS mediante el AWS CLI](#add-listener-cli)
## Requisitos previos
Para habilitar la compatibilidad con HTTPS en un oyente HTTPS, debe implementar un certificado de servidor SSL en el equilibrador de carga. El equilibrador de carga utiliza el certificado para terminar y descifrar las solicitudes antes de enviarlas a las instancias. Si no dispone de un certificado SSL, puede crear uno. Para obtener más información, consulte [Certificados SSL/TLS para equilibradores de carga clásicos](ssl-server-cert.md).
## Agregado de un oyente HTTPS a través de la consola
Puede agregar un oyente HTTPS a un equilibrador de carga existente.
**Para agregar un oyente HTTPS al equilibrador de carga a través de la consola**
1. Abra la consola de Amazon EC2 en [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. En el panel de navegación, en **Equilibrio de carga**, elija **Equilibradores de carga**.
1. Seleccione el nombre del equilibrador de carga para abrir su página de detalles.
1. En la pestaña **Oyentes**, seleccione **Administrar oyentes**.
1. En la página **Administrar oyentes**, en la sección **Oyentes**, seleccione **Agregar oyente**.
1. En **Protocolo del oyente**, seleccione **HTTPS**.
**importante**
De manera predeterminada, el **Protocolo de instancia** es HTTP. Si desea configurar la autenticación de instancias backend, cambie el **Protocolo de instancia** a HTTPS.
1. Para la **política de seguridad**, se recomienda utilizar la política de seguridad predefinida más reciente. Si necesita utilizar otra política de seguridad predefinida o crear una política personalizada, consulte [Actualizar la configuración de negociación SSL](ssl-config-update.md#ssl-config-update-console).
1. En **Certificado SSL predeterminado**, seleccione **Editar** y, a continuación, realice una de las siguientes acciones:
+ Si ha creado o importado un certificado mediante **ACM AWS Certificate Manager**, seleccione el certificado de la lista y, a continuación, seleccione **Guardar** cambios.
**nota**
Esta opción solo está disponible en las regiones que admiten AWS Certificate Manager.
+ Si ha importado un certificado mediante IAM, seleccione **Desde IAM**, seleccione el certificado en la lista y, a continuación, haga clic en **Guardar cambios**.
+ Si tiene un certificado SSL para importar a ACM, seleccione **Importar** y **A ACM**. En **Clave privada del certificado**, copie y pegue el contenido del archivo de clave privada con codificación PEM. En **Cuerpo del certificado**, copie y pegue el contenido del archivo de certificado de clave pública con codificación PEM. En **Cadena del certificado (opcional)**, copie y pegue el contenido del archivo de cadena del certificado con codificación PEM, a no ser que utilice un certificado autofirmado y no sea importante que los navegadores lo acepten implícitamente.
+ Si tiene un certificado SSL para importar pero ACM no se admite en esta región, seleccione **Importar** y **A IAM**. En **Nombre del certificado**, escriba el nombre del certificado. En **Clave privada del certificado**, copie y pegue el contenido del archivo de clave privada con codificación PEM. En **Cuerpo del certificado**, copie y pegue el contenido del archivo de certificado de clave pública con codificación PEM. En **Cadena del certificado (opcional)**, copie y pegue el contenido del archivo de cadena del certificado con codificación PEM, a no ser que utilice un certificado autofirmado y no sea importante que los navegadores lo acepten implícitamente.
+ Seleccione **Save changes (Guardar cambios)**.
1. En **Persistencia de cookie**, el valor predeterminado es **Desactivada**. Para cambiarlo, seleccione **Editar**. Si selecciona **Generada por el equilibrador de carga**, se debe especificar un **Periodo de vencimiento**. Si selecciona **Generada por la aplicación**, se debe especificar un **Nombre de cookie**. Después de realizar la selección, seleccione **Guardar cambios**.
1. (Opcional) Seleccione **Agregar oyente** para agregar oyentes adicionales.
1. Seleccione **Guardar cambios** para agregar los oyentes que acaba de configurar.
1. (Opcional) Para configurar la autenticación de instancias de fondo para un balanceador de cargas existente, debes usar la AWS CLI o una API, ya que esta tarea no es compatible con la consola. Para obtener más información, consulte [Configurar la autenticación de instancias backend](elb-create-https-ssl-load-balancer.md#configure_backendauth_clt).
## Agrega un agente de escucha HTTPS mediante el AWS CLI
Puede agregar un oyente HTTPS a un equilibrador de carga existente.
**Para añadir un agente de escucha HTTPS a tu balanceador de cargas mediante el AWS CLI**
1. Obtenga el nombre de recurso de Amazon (ARN) del certificado SSL. Por ejemplo:
**ACM**
```
arn:aws:acm:region:123456789012:certificate/12345678-1234-1234-1234-123456789012
```
**IAM**
```
arn:aws:iam::123456789012:server-certificate/my-server-certificate
```
1. Usa el siguiente [create-load-balancer-listeners](https://docs.aws.amazon.com/cli/latest/reference/elb/create-load-balancer-listeners.html)comando para agregar un agente de escucha a tu balanceador de cargas que acepte solicitudes HTTPS en el puerto 443 y envíe las solicitudes a las instancias en el puerto 80 mediante HTTP:
```
aws elb create-load-balancer-listeners --load-balancer-name my-load-balancer --listeners Protocol=HTTPS,LoadBalancerPort=443,InstanceProtocol=HTTP,InstancePort=80,SSLCertificateId=ARN
```
Si desea configurar la autenticación de instancias backend, utilice el siguiente comando para agregar un oyente que acepte las solicitudes HTTPS en el puerto 443 y envíe las solicitudes a las instancias en el puerto 443 a través de HTTPS:
```
aws elb create-load-balancer-listeners --load-balancer-name my-load-balancer --listeners Protocol=HTTPS,LoadBalancerPort=443,InstanceProtocol=HTTPS,InstancePort=443,SSLCertificateId=ARN
```
1. (Opcional) Puedes usar el siguiente [describe-load-balancers](https://docs.aws.amazon.com/cli/latest/reference/elb/describe-load-balancers.html)comando para ver los detalles actualizados de tu balanceador de cargas:
```
aws elb describe-load-balancers --load-balancer-name my-load-balancer
```
A continuación, se muestra un ejemplo de respuesta:
```
{
"LoadBalancerDescriptions": [
{
...
"ListenerDescriptions": [
{
"Listener": {
"InstancePort": 80,
"SSLCertificateId": "ARN",
"LoadBalancerPort": 443,
"Protocol": "HTTPS",
"InstanceProtocol": "HTTP"
},
"PolicyNames": [
"ELBSecurityPolicy-2016-08"
]
},
{
"Listener": {
"InstancePort": 80,
"LoadBalancerPort": 80,
"Protocol": "HTTP",
"InstanceProtocol": "HTTP"
},
"PolicyNames": []
}
],
...
}
]
}
```
1. (Opcional) El oyente HTTPS se creó utilizando la política de seguridad predeterminada. Si desea especificar una política de seguridad predefinida diferente o una política de seguridad personalizada, utilice los comandos [create-load-balancer-policy](https://docs.aws.amazon.com/cli/latest/reference/elb/create-load-balancer-policy.html)y [set-load-balancer-policies-of-listener](https://docs.aws.amazon.com/cli/latest/reference/elb/set-load-balancer-policies-of-listener.html). Para obtener más información, consulte [Actualice la configuración de negociación de SSL mediante el AWS CLI](ssl-config-update.md#ssl-config-update-cli).
1. [(Opcional) Para configurar la autenticación de instancias de back-end, usa el comando -. set-load-balancer-policies for-backend-server](https://docs.aws.amazon.com/cli/latest/reference/elb/set-load-balancer-policies-for-backend-server.html) Para obtener más información, consulte [Configurar la autenticación de instancias backend](elb-create-https-ssl-load-balancer.md#configure_backendauth_clt).
# Reemplazo del certificado SSL del equilibrador de carga clásico
Si tiene un oyente HTTPS, cuando creó este oyente, implementó un certificado de servidor SSL en el equilibrador de carga. Cada certificado viene con un periodo de validez. No olvide renovar o sustituir el certificado antes de que finalice el periodo de validez.
Los certificados proporcionados AWS Certificate Manager e implementados en tu balanceador de cargas se pueden renovar automáticamente. ACM intenta renovar los certificados antes de que venzan. Para obtener más información, consulte [Renovación administrada](https://docs.aws.amazon.com/acm/latest/userguide/managed-renewal.html) en la *Guía del usuario de AWS Certificate Manager *. Si el certificado se importó en ACM, deberá monitorear la fecha de vencimiento del certificado y renovarlo antes de que venza. Para obtener más información, consulte [Importación de certificados](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate.html) en la *Guía del usuario de AWS Certificate Manager *. Cuando un certificado que está implementado en un equilibrador de carga se renueva, las nuevas solicitudes utilizan el certificado renovado.
Para sustituir un certificado, primero debe crear otro nuevo siguiendo los mismos pasos que utilizó para crear el certificado actual. A continuación, puede sustituir el certificado. Cuando un certificado que está implementado en un equilibrador de carga se reemplaza, las nuevas solicitudes utilizan el nuevo certificado.
Tenga en cuenta que la renovación o sustitución de un certificado no afecta a las solicitudes que ya se han recibido en un nodo del equilibrador de carga y que están pendiente de ser direccionadas a un destino con un estado correcto.
**Topics**
+ [Reemplazo del certificado SSL a través de la consola](#us-update-lb-SSLcert-console)
+ [Sustituya el certificado SSL por AWS CLI](#us-update-lb-SSLcert-cli)
## Reemplazo del certificado SSL a través de la consola
Puede reemplazar el certificado implementado en el equilibrador de carga por un certificado proporcionado por ACM o un certificado cargado en IAM.
**Para reemplazar el certificado SSL de un equilibrador de carga HTTPS mediante la consola**
1. Abra la consola de Amazon EC2 en [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. En el panel de navegación, en **Equilibrio de carga**, elija **Equilibradores de carga**.
1. Seleccione el nombre del equilibrador de carga para abrir su página de detalles.
1. En la pestaña **Oyentes**, seleccione **Administrar oyentes**.
1. En la página **Administrar oyentes**, localice el oyente que desea actualizar, seleccione **Editar** en **Certificado SSL predeterminado** y realice una de las siguientes acciones:
+ Si ha creado o importado un certificado mediante **ACM AWS Certificate Manager**, seleccione el certificado de la lista y, a continuación, seleccione **Guardar** cambios.
**nota**
Esta opción solo está disponible en las regiones que admiten AWS Certificate Manager.
+ Si ha importado un certificado mediante IAM, seleccione **Desde IAM**, seleccione el certificado en la lista y, a continuación, haga clic en **Guardar cambios**.
+ Si tiene un certificado SSL para importar a ACM, seleccione **Importar** y **A ACM**. En **Clave privada del certificado**, copie y pegue el contenido del archivo de clave privada con codificación PEM. En **Cuerpo del certificado**, copie y pegue el contenido del archivo de certificado de clave pública con codificación PEM. En **Cadena del certificado (opcional)**, copie y pegue el contenido del archivo de cadena del certificado con codificación PEM, a no ser que utilice un certificado autofirmado y no sea importante que los navegadores lo acepten implícitamente.
+ Si tiene un certificado SSL para importar pero ACM no se admite en esta región, seleccione **Importar** y **A IAM**. En **Nombre del certificado**, escriba el nombre del certificado. En **Clave privada del certificado**, copie y pegue el contenido del archivo de clave privada con codificación PEM. En **Cuerpo del certificado**, copie y pegue el contenido del archivo de certificado de clave pública con codificación PEM. En **Cadena del certificado (opcional)**, copie y pegue el contenido del archivo de cadena del certificado con codificación PEM, a no ser que utilice un certificado autofirmado y no sea importante que los navegadores lo acepten implícitamente.
+ Seleccione **Save changes (Guardar cambios)**.
## Sustituya el certificado SSL por AWS CLI
Puede reemplazar el certificado implementado en el equilibrador de carga por un certificado proporcionado por ACM o un certificado cargado en IAM.
**Para reemplazar un certificado SSL por un certificado proporcionado por ACM**
1. Utilice el siguiente comando [request-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm/request-certificate.html) para solicitar un nuevo certificado:
```
aws acm request-certificate --domain-name www.example.com
```
1. Utilice el siguiente comando [set-load-balancer-listener-ssl-certificate para configurar el certificado](https://docs.aws.amazon.com/cli/latest/reference/elb/set-load-balancer-listener-ssl-certificate.html):
```
aws elb set-load-balancer-listener-ssl-certificate --load-balancer-name my-load-balancer --load-balancer-port 443 --ssl-certificate-id arn:aws:acm:region:123456789012:certificate/12345678-1234-1234-1234-123456789012
```
**Para reemplazar un certificado SSL por un certificado cargado en IAM**
1. Si tiene un certificado SSL pero no lo ha cargado, consulte [Carga de un certificado de servidor](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_server-certs.html#upload-server-certificate) en la *Guía del usuario de IAM*.
1. Utilice el siguiente [get-server-certificate](https://docs.aws.amazon.com/cli/latest/reference/iam/get-server-certificate.html)comando para obtener el ARN del certificado:
```
aws iam get-server-certificate --server-certificate-name my-new-certificate
```
1. Utilice el siguiente comando [set-load-balancer-listener-ssl-certificate para configurar el certificado](https://docs.aws.amazon.com/cli/latest/reference/elb/set-load-balancer-listener-ssl-certificate.html):
```
aws elb set-load-balancer-listener-ssl-certificate --load-balancer-name my-load-balancer --load-balancer-port 443 --ssl-certificate-id arn:aws:iam::123456789012:server-certificate/my-new-certificate
```
# Actualización de la configuración de la negociación SSL del equilibrador de carga clásico
Elastic Load Balancing proporciona políticas de seguridad que tienen configuraciones de negociación SSL predefinidas y que se usan para negociar las conexiones SSL entre los clientes y el equilibrador de carga. Si usa el HTTPS/SSL protocolo para su agente de escucha, puede usar una de las políticas de seguridad predefinidas o usar su propia política de seguridad personalizada.
Para obtener más información sobre las políticas de seguridad, consulte [Configuraciones de negociación SSL para el equilibrador de carga clásico](elb-ssl-security-policy.md). Para obtener más información sobre las configuraciones de las políticas de seguridad proporcionadas por Elastic Load Balancing, consulte [Políticas de seguridad SSL predefinidas para los equilibradores de carga clásicos](elb-security-policy-table.md).
Si crea un HTTPS/SSL listener sin asociar una política de seguridad, Elastic Load Balancing asocia la política de seguridad predefinida predeterminada a su balanceador de carga. `ELBSecurityPolicy-2016-08`
Si lo prefiere, puede crear una configuración personalizada. Le recomendamos encarecidamente que pruebe la política de seguridad antes de actualizar la configuración del equilibrador de carga.
En los siguientes ejemplos, se muestra cómo actualizar la configuración de negociación de SSL para un agente de escucha. HTTPS/SSL Tenga en cuenta que este cambio no afecta a las solicitudes recibidas por los nodos de equilibrador de carga y que están pendientes de ser direccionadas a una instancia correcta. La configuración actualizada comenzará a utilizarse con las nuevas solicitudes que se reciban.
**Topics**
+ [Actualización de la configuración de negociación SSL a través de la consola](#ssl-config-update-console)
+ [Actualice la configuración de negociación de SSL mediante el AWS CLI](#ssl-config-update-cli)
## Actualización de la configuración de negociación SSL a través de la consola
De forma predeterminada, Elastic Load Balancing asocia la política predefinida más reciente con el equilibrador de carga. Cuando agregue una nueva política predefinida, le recomendamos que actualice el equilibrador de carga para que la utilice. También tiene la opción de seleccionar otra política de seguridad predefinida o crear una personalizada.
**Para actualizar la configuración de negociación SSL de un balanceador de HTTPS/SSL cargas mediante la consola**
1. Abra la consola de Amazon EC2 en [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. En el panel de navegación, en **Equilibrio de carga**, elija **Equilibradores de carga**.
1. Seleccione el nombre del equilibrador de carga para abrir su página de detalles.
1. En la pestaña **Oyentes**, seleccione **Administrar oyentes**.
1. En la página **Administrar oyentes**, localice el oyente que desea actualizar, seleccione **Editar** en **Política de seguridad** y seleccione una política de seguridad mediante una de las siguientes opciones:
+ **Mantén la política predeterminada, **ELBSecurityPolicy-2016-08**, y luego selecciona Guardar cambios.**
+ Seleccione una política predefinida que no sea la predeterminada y haga clic en **Guardar cambios**.
+ Seleccione **Personalizada** y habilite al menos un protocolo y un cifrado, tal y como se indica a continuación:
1. En **SSL Protocols** (Protocolos SSL), seleccione uno o varios protocolos para habilitarlos.
1. Para **SSL Options** (Opciones SSL), seleccione **Server Order Preference** (Preferencia del orden del servidor) para usar el orden que aparece en [Políticas de seguridad SSL predefinidas para los equilibradores de carga clásicos](elb-security-policy-table.md) para la negociación SSL.
1. En **SSL Ciphers** (Cifrados SSL), seleccione uno o varios cifrados para habilitarlos. Si ya tiene un certificado SSL, debe habilitar el cifrado que se usó para crearlo, ya que los cifrados DSA y RSA son específicos del algoritmo de firma.
1. Seleccione **Save changes (Guardar cambios)**.
## Actualice la configuración de negociación de SSL mediante el AWS CLI
Puede utilizar la política de seguridad predefinida `ELBSecurityPolicy-2016-08`, que es la predeterminada; una política de seguridad predefinida diferente, o una política de seguridad personalizada.
**Para utilizar una política de seguridad SSL predefinida**
1. Usa el siguiente [describe-load-balancer-policies](https://docs.aws.amazon.com/cli/latest/reference/elb/describe-load-balancer-policies.html)comando para enumerar las políticas de seguridad predefinidas que proporciona Elastic Load Balancing. La sintaxis que use dependerá del sistema operativo y del shell que esté utilizando.
**Linux**
```
aws elb describe-load-balancer-policies --query 'PolicyDescriptions[?PolicyTypeName==`SSLNegotiationPolicyType`].{PolicyName:PolicyName}' --output table
```
**Windows**
```
aws elb describe-load-balancer-policies --query "PolicyDescriptions[?PolicyTypeName==`SSLNegotiationPolicyType`].{PolicyName:PolicyName}" --output table
```
A continuación, se muestra un ejemplo de la salida:
```
------------------------------------------
| DescribeLoadBalancerPolicies |
+----------------------------------------+
| PolicyName |
+----------------------------------------+
| ELBSecurityPolicy-2016-08 |
| ELBSecurityPolicy-TLS-1-2-2017-01 |
| ELBSecurityPolicy-TLS-1-1-2017-01 |
| ELBSecurityPolicy-2015-05 |
| ELBSecurityPolicy-2015-03 |
| ELBSecurityPolicy-2015-02 |
| ELBSecurityPolicy-2014-10 |
| ELBSecurityPolicy-2014-01 |
| ELBSecurityPolicy-2011-08 |
| ELBSample-ELBDefaultCipherPolicy |
| ELBSample-OpenSSLDefaultCipherPolicy |
+----------------------------------------+
```
Para determinar qué cifrados están habilitadas en una política, utilice el siguiente comando:
```
aws elb describe-load-balancer-policies --policy-names ELBSecurityPolicy-2016-08 --output table
```
Para obtener información sobre la configuración de las políticas de seguridad predefinidas, consulte [Políticas de seguridad SSL predefinidas para los equilibradores de carga clásicos](elb-security-policy-table.md).
1. Utilice el [create-load-balancer-policy](https://docs.aws.amazon.com/cli/latest/reference/elb/create-load-balancer-policy.html)comando para crear una política de negociación de SSL mediante una de las políticas de seguridad predefinidas que describió en el paso anterior. Por ejemplo, el comando siguiente utiliza la política de seguridad predefinida que se emplea de forma predeterminada:
```
aws elb create-load-balancer-policy --load-balancer-name my-loadbalancer
--policy-name my-SSLNegotiation-policy --policy-type-name SSLNegotiationPolicyType
--policy-attributes AttributeName=Reference-Security-Policy,AttributeValue=ELBSecurityPolicy-2016-08
```
Si superas el límite de políticas para el balanceador de cargas, usa el [delete-load-balancer-policy](https://docs.aws.amazon.com/cli/latest/reference/elb/delete-load-balancer-policy.html)comando para eliminar las políticas no utilizadas.
1. (Opcional) Utilice el siguiente [describe-load-balancer-policies](https://docs.aws.amazon.com/cli/latest/reference/elb/describe-load-balancer-policies.html)comando para comprobar que se ha creado la política:
```
aws elb describe-load-balancer-policies --load-balancer-name my-loadbalancer --policy-name my-SSLNegotiation-policy
```
La respuesta incluye la descripción de la política.
1. Use el siguiente comando [set-load-balancer-policies-of-listener](https://docs.aws.amazon.com/cli/latest/reference/elb/set-load-balancer-policies-of-listener.html) para habilitar la política en el puerto 443 del balanceador de carga:
```
aws elb set-load-balancer-policies-of-listener --load-balancer-name my-loadbalancer --load-balancer-port 443 --policy-names my-SSLNegotiation-policy
```
**nota**
El comando `set-load-balancer-policies-of-listener` reemplaza el conjunto de políticas que se aplica actualmente en el puerto del equilibrador de carga especificado por el conjunto de políticas proporcionado. La lista `--policy-names` debería incluir todas las políticas que se van a habilitar. Si se omite una política que actualmente está habilitada, se desactivará.
1. (Opcional) Usa el siguiente [describe-load-balancers](https://docs.aws.amazon.com/cli/latest/reference/elb/describe-load-balancers.html)comando para comprobar que la nueva política esté habilitada para el puerto del equilibrador de carga:
```
aws elb describe-load-balancers --load-balancer-name my-loadbalancer
```
En la respuesta, puede verse que la política está habilitada en el puerto 443.
```
...
{
"Listener": {
"InstancePort": 443,
"SSLCertificateId": "ARN",
"LoadBalancerPort": 443,
"Protocol": "HTTPS",
"InstanceProtocol": "HTTPS"
},
"PolicyNames": [
"my-SSLNegotiation-policy"
]
}
...
```
Cuando cree una política de seguridad personalizada, debe habilitar al menos un protocolo y un cifrado. Los cifrados DSA y RSA son específicos del algoritmo de firma y se utilizan para crear el certificado SSL. Si ya tiene un certificado SSL, asegúrese de habilitar el cifrado que se usó para crearlo. El nombre de la política personalizada no debe comenzar por `ELBSecurityPolicy-` ni `ELBSample-`, ya que estos prefijos están reservados para los nombres de las políticas de seguridad predefinidas.
**Para utilizar una política de seguridad SSL personalizada**
1. Utilice el [create-load-balancer-policy](https://docs.aws.amazon.com/cli/latest/reference/elb/create-load-balancer-policy.html)comando para crear una política de negociación de SSL mediante una política de seguridad personalizada. Por ejemplo:
```
aws elb create-load-balancer-policy --load-balancer-name my-loadbalancer
--policy-name my-SSLNegotiation-policy --policy-type-name SSLNegotiationPolicyType
--policy-attributes AttributeName=Protocol-TLSv1.2,AttributeValue=true
AttributeName=Protocol-TLSv1.1,AttributeValue=true
AttributeName=DHE-RSA-AES256-SHA256,AttributeValue=true
AttributeName=Server-Defined-Cipher-Order,AttributeValue=true
```
Si superas el límite de políticas del balanceador de cargas, usa el [delete-load-balancer-policy](https://docs.aws.amazon.com/cli/latest/reference/elb/delete-load-balancer-policy.html)comando para eliminar las políticas no utilizadas.
1. (Opcional) Utilice el siguiente [describe-load-balancer-policies](https://docs.aws.amazon.com/cli/latest/reference/elb/describe-load-balancer-policies.html)comando para comprobar que se ha creado la política:
```
aws elb describe-load-balancer-policies --load-balancer-name my-loadbalancer --policy-name my-SSLNegotiation-policy
```
La respuesta incluye la descripción de la política.
1. Use el siguiente comando [set-load-balancer-policies-of-listener](https://docs.aws.amazon.com/cli/latest/reference/elb/set-load-balancer-policies-of-listener.html) para habilitar la política en el puerto 443 del balanceador de carga:
```
aws elb set-load-balancer-policies-of-listener --load-balancer-name my-loadbalancer --load-balancer-port 443 --policy-names my-SSLNegotiation-policy
```
**nota**
El comando `set-load-balancer-policies-of-listener` reemplaza el conjunto de políticas que se aplica actualmente en el puerto del equilibrador de carga especificado por el conjunto de políticas proporcionado. La lista `--policy-names` debería incluir todas las políticas que se van a habilitar. Si se omite una política que actualmente está habilitada, se desactivará.
1. (Opcional) Usa el siguiente [describe-load-balancers](https://docs.aws.amazon.com/cli/latest/reference/elb/describe-load-balancers.html)comando para comprobar que la nueva política esté habilitada para el puerto del equilibrador de carga:
```
aws elb describe-load-balancers --load-balancer-name my-loadbalancer
```
En la respuesta, puede verse que la política está habilitada en el puerto 443.
```
...
{
"Listener": {
"InstancePort": 443,
"SSLCertificateId": "ARN",
"LoadBalancerPort": 443,
"Protocol": "HTTPS",
"InstanceProtocol": "HTTPS"
},
"PolicyNames": [
"my-SSLNegotiation-policy"
]
}
...
```