Actualización de la configuración de la negociación SSL del equilibrador de carga clásico - Elastic Load Balancing
Actualización de la configuración de negociación SSL a través de la consolaActualice la configuración de negociación de SSL mediante AWS CLI

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Actualización de la configuración de la negociación SSL del equilibrador de carga clásico

Elastic Load Balancing proporciona políticas de seguridad que tienen configuraciones de negociación SSL predefinidas y que se usan para negociar las conexiones SSL entre los clientes y el equilibrador de carga. Si utiliza el protocolo HTTPS/SSL con el oyente, puede aplicar una de las políticas de seguridad predefinidas o su propia política de seguridad personalizada.

Para obtener más información sobre las políticas de seguridad, consulte Configuraciones de negociación SSL para el equilibrador de carga clásico. Para obtener más información sobre las configuraciones de las políticas de seguridad proporcionadas por Elastic Load Balancing, consulte Políticas de seguridad SSL predefinidas para los equilibradores de carga clásicos.

Si crea un oyente HTTPS/SSL sin asociar una política de seguridad, Elastic Load Balancing asocia la política de seguridad predefinida, ELBSecurityPolicy-2016-08, con el equilibrador de carga.

Si lo prefiere, puede crear una configuración personalizada. Le recomendamos encarecidamente que pruebe la política de seguridad antes de actualizar la configuración del equilibrador de carga.

En los siguientes ejemplos, se muestra cómo se actualiza la configuración de la negociación SSL en un oyente HTTPS/SSL. Tenga en cuenta que este cambio no afecta a las solicitudes recibidas por los nodos de equilibrador de carga y que están pendientes de ser direccionadas a una instancia correcta. La configuración actualizada comenzará a utilizarse con las nuevas solicitudes que se reciban.

Actualización de la configuración de negociación SSL a través de la consola

De forma predeterminada, Elastic Load Balancing asocia la política predefinida más reciente con el equilibrador de carga. Cuando agregue una nueva política predefinida, le recomendamos que actualice el equilibrador de carga para que la utilice. También tiene la opción de seleccionar otra política de seguridad predefinida o crear una personalizada.

Para actualizar la configuración de la negociación SSL en un equilibrador de carga HTTPS/SSL mediante la consola

  1. Abre la EC2 consola de Amazon en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación, en Equilibrio de carga, elija Equilibradores de carga.

  3. Seleccione el nombre del equilibrador de carga para abrir su página de detalles.

  4. En la pestaña Oyentes, seleccione Administrar oyentes.

  5. En la página Administrar oyentes, localice el oyente que desea actualizar, seleccione Editar en Política de seguridad y seleccione una política de seguridad mediante una de las siguientes opciones:

    • Mantén la política predeterminada, ELBSecurityPolicy-2016-08, y luego selecciona Guardar cambios.

    • Seleccione una política predefinida que no sea la predeterminada y haga clic en Guardar cambios.

    • Seleccione Personalizada y habilite al menos un protocolo y un cifrado, tal y como se indica a continuación:

      1. En SSL Protocols (Protocolos SSL), seleccione uno o varios protocolos para habilitarlos.

      2. Para SSL Options (Opciones SSL), seleccione Server Order Preference (Preferencia del orden del servidor) para usar el orden que aparece en Políticas de seguridad SSL predefinidas para los equilibradores de carga clásicos para la negociación SSL.

      3. En SSL Ciphers (Cifrados SSL), seleccione uno o varios cifrados para habilitarlos. Si ya tiene un certificado SSL, debe habilitar el cifrado que se usó para crearlo, ya que los cifrados DSA y RSA son específicos del algoritmo de firma.

      4. Seleccione Save changes (Guardar cambios).

Actualice la configuración de negociación de SSL mediante AWS CLI

Puede utilizar la política de seguridad predefinida ELBSecurityPolicy-2016-08, que es la predeterminada; una política de seguridad predefinida diferente, o una política de seguridad personalizada.

Para utilizar una política de seguridad SSL predefinida

  1. Usa el siguiente describe-load-balancer-policiescomando para enumerar las políticas de seguridad predefinidas que proporciona Elastic Load Balancing. La sintaxis que use dependerá del sistema operativo y del shell que esté utilizando.

    Linux

    aws elb describe-load-balancer-policies --query 'PolicyDescriptions[?PolicyTypeName==`SSLNegotiationPolicyType`].{PolicyName:PolicyName}' --output table

    Windows

    aws elb describe-load-balancer-policies --query "PolicyDescriptions[?PolicyTypeName==`SSLNegotiationPolicyType`].{PolicyName:PolicyName}" --output table

    A continuación, se muestra un ejemplo de la salida:

    ------------------------------------------
|      DescribeLoadBalancerPolicies      |
+----------------------------------------+
|               PolicyName               |
+----------------------------------------+
|  ELBSecurityPolicy-2016-08             |
|  ELBSecurityPolicy-TLS-1-2-2017-01     |
|  ELBSecurityPolicy-TLS-1-1-2017-01     |
|  ELBSecurityPolicy-2015-05             |
|  ELBSecurityPolicy-2015-03             |
|  ELBSecurityPolicy-2015-02             |
|  ELBSecurityPolicy-2014-10             |
|  ELBSecurityPolicy-2014-01             |
|  ELBSecurityPolicy-2011-08             |
|  ELBSample-ELBDefaultCipherPolicy      |
|  ELBSample-OpenSSLDefaultCipherPolicy  |
+----------------------------------------+

    Para determinar qué cifrados están habilitadas en una política, utilice el siguiente comando:

    aws elb describe-load-balancer-policies --policy-names ELBSecurityPolicy-2016-08 --output table

    Para obtener información sobre la configuración de las políticas de seguridad predefinidas, consulte Políticas de seguridad SSL predefinidas para los equilibradores de carga clásicos.

  2. Utilice el create-load-balancer-policycomando para crear una política de negociación de SSL mediante una de las políticas de seguridad predefinidas que describió en el paso anterior. Por ejemplo, el comando siguiente utiliza la política de seguridad predefinida que se emplea de forma predeterminada:

    aws elb create-load-balancer-policy --load-balancer-name my-loadbalancer
--policy-name my-SSLNegotiation-policy  --policy-type-name SSLNegotiationPolicyType
--policy-attributes AttributeName=Reference-Security-Policy,AttributeValue=ELBSecurityPolicy-2016-08

    Si superas el límite de políticas para el balanceador de cargas, usa el delete-load-balancer-policycomando para eliminar las políticas no utilizadas.

  3. (Opcional) Utilice el siguiente describe-load-balancer-policiescomando para comprobar que se ha creado la política:

    aws elb describe-load-balancer-policies --load-balancer-name my-loadbalancer --policy-name my-SSLNegotiation-policy

    La respuesta incluye la descripción de la política.

  4. Use el siguiente comando set-load-balancer-policies-of-listener para habilitar la política en el puerto 443 del balanceador de carga:

    aws elb set-load-balancer-policies-of-listener --load-balancer-name my-loadbalancer --load-balancer-port 443 --policy-names my-SSLNegotiation-policy
    nota

    El comando set-load-balancer-policies-of-listener reemplaza el conjunto de políticas que se aplica actualmente en el puerto del equilibrador de carga especificado por el conjunto de políticas proporcionado. La lista --policy-names debería incluir todas las políticas que se van a habilitar. Si se omite una política que actualmente está habilitada, se desactivará.

  5. (Opcional) Usa el siguiente describe-load-balancerscomando para comprobar que la nueva política esté habilitada para el puerto del equilibrador de carga:

    aws elb describe-load-balancers --load-balancer-name my-loadbalancer

    En la respuesta, puede verse que la política está habilitada en el puerto 443.

    ...
  {
      "Listener": {
          "InstancePort": 443,
          "SSLCertificateId": "ARN",
          "LoadBalancerPort": 443,
          "Protocol": "HTTPS",
          "InstanceProtocol": "HTTPS"
      },
      "PolicyNames": [
          "my-SSLNegotiation-policy"
      ]
  }
...

Cuando cree una política de seguridad personalizada, debe habilitar al menos un protocolo y un cifrado. Los cifrados DSA y RSA son específicos del algoritmo de firma y se utilizan para crear el certificado SSL. Si ya tiene un certificado SSL, asegúrese de habilitar el cifrado que se usó para crearlo. El nombre de la política personalizada no debe comenzar por ELBSecurityPolicy- ni ELBSample-, ya que estos prefijos están reservados para los nombres de las políticas de seguridad predefinidas.

Para utilizar una política de seguridad SSL personalizada

  1. Utilice el create-load-balancer-policycomando para crear una política de negociación de SSL mediante una política de seguridad personalizada. Por ejemplo:

    aws elb create-load-balancer-policy --load-balancer-name my-loadbalancer 
 --policy-name my-SSLNegotiation-policy --policy-type-name SSLNegotiationPolicyType 
 --policy-attributes AttributeName=Protocol-TLSv1.2,AttributeValue=true 
 AttributeName=Protocol-TLSv1.1,AttributeValue=true 
 AttributeName=DHE-RSA-AES256-SHA256,AttributeValue=true 
 AttributeName=Server-Defined-Cipher-Order,AttributeValue=true

    Si superas el límite de políticas del balanceador de cargas, usa el delete-load-balancer-policycomando para eliminar las políticas no utilizadas.

  2. (Opcional) Utilice el siguiente describe-load-balancer-policiescomando para comprobar que se ha creado la política:

    aws elb describe-load-balancer-policies --load-balancer-name my-loadbalancer --policy-name my-SSLNegotiation-policy

    La respuesta incluye la descripción de la política.

  3. Use el siguiente comando set-load-balancer-policies-of-listener para habilitar la política en el puerto 443 del balanceador de carga:

    aws elb set-load-balancer-policies-of-listener --load-balancer-name my-loadbalancer --load-balancer-port 443 --policy-names my-SSLNegotiation-policy
    nota

    El comando set-load-balancer-policies-of-listener reemplaza el conjunto de políticas que se aplica actualmente en el puerto del equilibrador de carga especificado por el conjunto de políticas proporcionado. La lista --policy-names debería incluir todas las políticas que se van a habilitar. Si se omite una política que actualmente está habilitada, se desactivará.

  4. (Opcional) Usa el siguiente describe-load-balancerscomando para comprobar que la nueva política esté habilitada para el puerto del equilibrador de carga:

    aws elb describe-load-balancers --load-balancer-name my-loadbalancer

    En la respuesta, puede verse que la política está habilitada en el puerto 443.

    ...
  {
      "Listener": {
          "InstancePort": 443,
          "SSLCertificateId": "ARN",
          "LoadBalancerPort": 443,
          "Protocol": "HTTPS",
          "InstanceProtocol": "HTTPS"
      },
      "PolicyNames": [
          "my-SSLNegotiation-policy"
      ]
  }
...