Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Actualización de la configuración de la negociación SSL del equilibrador de carga clásico
Elastic Load Balancing proporciona políticas de seguridad que tienen configuraciones de negociación SSL predefinidas y que se usan para negociar las conexiones SSL entre los clientes y el equilibrador de carga. Si usa el HTTPS/SSL protocolo para su agente de escucha, puede usar una de las políticas de seguridad predefinidas o usar su propia política de seguridad personalizada.
Para obtener más información sobre las políticas de seguridad, consulte [Configuraciones de negociación SSL para el equilibrador de carga clásico](elb-ssl-security-policy.md). Para obtener más información sobre las configuraciones de las políticas de seguridad proporcionadas por Elastic Load Balancing, consulte [Políticas de seguridad SSL predefinidas para los equilibradores de carga clásicos](elb-security-policy-table.md).
Si crea un HTTPS/SSL listener sin asociar una política de seguridad, Elastic Load Balancing asocia la política de seguridad predefinida predeterminada a su balanceador de carga. `ELBSecurityPolicy-2016-08`
Si lo prefiere, puede crear una configuración personalizada. Le recomendamos encarecidamente que pruebe la política de seguridad antes de actualizar la configuración del equilibrador de carga.
En los siguientes ejemplos, se muestra cómo actualizar la configuración de negociación de SSL para un agente de escucha. HTTPS/SSL Tenga en cuenta que este cambio no afecta a las solicitudes recibidas por los nodos de equilibrador de carga y que están pendientes de ser direccionadas a una instancia correcta. La configuración actualizada comenzará a utilizarse con las nuevas solicitudes que se reciban.
**Topics**
+ [Actualización de la configuración de negociación SSL a través de la consola](#ssl-config-update-console)
+ [Actualice la configuración de negociación de SSL mediante el AWS CLI](#ssl-config-update-cli)
## Actualización de la configuración de negociación SSL a través de la consola
De forma predeterminada, Elastic Load Balancing asocia la política predefinida más reciente con el equilibrador de carga. Cuando agregue una nueva política predefinida, le recomendamos que actualice el equilibrador de carga para que la utilice. También tiene la opción de seleccionar otra política de seguridad predefinida o crear una personalizada.
**Para actualizar la configuración de negociación SSL de un balanceador de HTTPS/SSL cargas mediante la consola**
1. Abra la consola de Amazon EC2 en [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. En el panel de navegación, en **Equilibrio de carga**, elija **Equilibradores de carga**.
1. Seleccione el nombre del equilibrador de carga para abrir su página de detalles.
1. En la pestaña **Oyentes**, seleccione **Administrar oyentes**.
1. En la página **Administrar oyentes**, localice el oyente que desea actualizar, seleccione **Editar** en **Política de seguridad** y seleccione una política de seguridad mediante una de las siguientes opciones:
+ **Mantén la política predeterminada, **ELBSecurityPolicy-2016-08**, y luego selecciona Guardar cambios.**
+ Seleccione una política predefinida que no sea la predeterminada y haga clic en **Guardar cambios**.
+ Seleccione **Personalizada** y habilite al menos un protocolo y un cifrado, tal y como se indica a continuación:
1. En **SSL Protocols** (Protocolos SSL), seleccione uno o varios protocolos para habilitarlos.
1. Para **SSL Options** (Opciones SSL), seleccione **Server Order Preference** (Preferencia del orden del servidor) para usar el orden que aparece en [Políticas de seguridad SSL predefinidas para los equilibradores de carga clásicos](elb-security-policy-table.md) para la negociación SSL.
1. En **SSL Ciphers** (Cifrados SSL), seleccione uno o varios cifrados para habilitarlos. Si ya tiene un certificado SSL, debe habilitar el cifrado que se usó para crearlo, ya que los cifrados DSA y RSA son específicos del algoritmo de firma.
1. Seleccione **Save changes (Guardar cambios)**.
## Actualice la configuración de negociación de SSL mediante el AWS CLI
Puede utilizar la política de seguridad predefinida `ELBSecurityPolicy-2016-08`, que es la predeterminada; una política de seguridad predefinida diferente, o una política de seguridad personalizada.
**Para utilizar una política de seguridad SSL predefinida**
1. Usa el siguiente [describe-load-balancer-policies](https://docs.aws.amazon.com/cli/latest/reference/elb/describe-load-balancer-policies.html)comando para enumerar las políticas de seguridad predefinidas que proporciona Elastic Load Balancing. La sintaxis que use dependerá del sistema operativo y del shell que esté utilizando.
**Linux**
```
aws elb describe-load-balancer-policies --query 'PolicyDescriptions[?PolicyTypeName==`SSLNegotiationPolicyType`].{PolicyName:PolicyName}' --output table
```
**Windows**
```
aws elb describe-load-balancer-policies --query "PolicyDescriptions[?PolicyTypeName==`SSLNegotiationPolicyType`].{PolicyName:PolicyName}" --output table
```
A continuación, se muestra un ejemplo de la salida:
```
------------------------------------------
| DescribeLoadBalancerPolicies |
+----------------------------------------+
| PolicyName |
+----------------------------------------+
| ELBSecurityPolicy-2016-08 |
| ELBSecurityPolicy-TLS-1-2-2017-01 |
| ELBSecurityPolicy-TLS-1-1-2017-01 |
| ELBSecurityPolicy-2015-05 |
| ELBSecurityPolicy-2015-03 |
| ELBSecurityPolicy-2015-02 |
| ELBSecurityPolicy-2014-10 |
| ELBSecurityPolicy-2014-01 |
| ELBSecurityPolicy-2011-08 |
| ELBSample-ELBDefaultCipherPolicy |
| ELBSample-OpenSSLDefaultCipherPolicy |
+----------------------------------------+
```
Para determinar qué cifrados están habilitadas en una política, utilice el siguiente comando:
```
aws elb describe-load-balancer-policies --policy-names ELBSecurityPolicy-2016-08 --output table
```
Para obtener información sobre la configuración de las políticas de seguridad predefinidas, consulte [Políticas de seguridad SSL predefinidas para los equilibradores de carga clásicos](elb-security-policy-table.md).
1. Utilice el [create-load-balancer-policy](https://docs.aws.amazon.com/cli/latest/reference/elb/create-load-balancer-policy.html)comando para crear una política de negociación de SSL mediante una de las políticas de seguridad predefinidas que describió en el paso anterior. Por ejemplo, el comando siguiente utiliza la política de seguridad predefinida que se emplea de forma predeterminada:
```
aws elb create-load-balancer-policy --load-balancer-name my-loadbalancer
--policy-name my-SSLNegotiation-policy --policy-type-name SSLNegotiationPolicyType
--policy-attributes AttributeName=Reference-Security-Policy,AttributeValue=ELBSecurityPolicy-2016-08
```
Si superas el límite de políticas para el balanceador de cargas, usa el [delete-load-balancer-policy](https://docs.aws.amazon.com/cli/latest/reference/elb/delete-load-balancer-policy.html)comando para eliminar las políticas no utilizadas.
1. (Opcional) Utilice el siguiente [describe-load-balancer-policies](https://docs.aws.amazon.com/cli/latest/reference/elb/describe-load-balancer-policies.html)comando para comprobar que se ha creado la política:
```
aws elb describe-load-balancer-policies --load-balancer-name my-loadbalancer --policy-name my-SSLNegotiation-policy
```
La respuesta incluye la descripción de la política.
1. Use el siguiente comando [set-load-balancer-policies-of-listener](https://docs.aws.amazon.com/cli/latest/reference/elb/set-load-balancer-policies-of-listener.html) para habilitar la política en el puerto 443 del balanceador de carga:
```
aws elb set-load-balancer-policies-of-listener --load-balancer-name my-loadbalancer --load-balancer-port 443 --policy-names my-SSLNegotiation-policy
```
**nota**
El comando `set-load-balancer-policies-of-listener` reemplaza el conjunto de políticas que se aplica actualmente en el puerto del equilibrador de carga especificado por el conjunto de políticas proporcionado. La lista `--policy-names` debería incluir todas las políticas que se van a habilitar. Si se omite una política que actualmente está habilitada, se desactivará.
1. (Opcional) Usa el siguiente [describe-load-balancers](https://docs.aws.amazon.com/cli/latest/reference/elb/describe-load-balancers.html)comando para comprobar que la nueva política esté habilitada para el puerto del equilibrador de carga:
```
aws elb describe-load-balancers --load-balancer-name my-loadbalancer
```
En la respuesta, puede verse que la política está habilitada en el puerto 443.
```
...
{
"Listener": {
"InstancePort": 443,
"SSLCertificateId": "ARN",
"LoadBalancerPort": 443,
"Protocol": "HTTPS",
"InstanceProtocol": "HTTPS"
},
"PolicyNames": [
"my-SSLNegotiation-policy"
]
}
...
```
Cuando cree una política de seguridad personalizada, debe habilitar al menos un protocolo y un cifrado. Los cifrados DSA y RSA son específicos del algoritmo de firma y se utilizan para crear el certificado SSL. Si ya tiene un certificado SSL, asegúrese de habilitar el cifrado que se usó para crearlo. El nombre de la política personalizada no debe comenzar por `ELBSecurityPolicy-` ni `ELBSample-`, ya que estos prefijos están reservados para los nombres de las políticas de seguridad predefinidas.
**Para utilizar una política de seguridad SSL personalizada**
1. Utilice el [create-load-balancer-policy](https://docs.aws.amazon.com/cli/latest/reference/elb/create-load-balancer-policy.html)comando para crear una política de negociación de SSL mediante una política de seguridad personalizada. Por ejemplo:
```
aws elb create-load-balancer-policy --load-balancer-name my-loadbalancer
--policy-name my-SSLNegotiation-policy --policy-type-name SSLNegotiationPolicyType
--policy-attributes AttributeName=Protocol-TLSv1.2,AttributeValue=true
AttributeName=Protocol-TLSv1.1,AttributeValue=true
AttributeName=DHE-RSA-AES256-SHA256,AttributeValue=true
AttributeName=Server-Defined-Cipher-Order,AttributeValue=true
```
Si superas el límite de políticas del balanceador de cargas, usa el [delete-load-balancer-policy](https://docs.aws.amazon.com/cli/latest/reference/elb/delete-load-balancer-policy.html)comando para eliminar las políticas no utilizadas.
1. (Opcional) Utilice el siguiente [describe-load-balancer-policies](https://docs.aws.amazon.com/cli/latest/reference/elb/describe-load-balancer-policies.html)comando para comprobar que se ha creado la política:
```
aws elb describe-load-balancer-policies --load-balancer-name my-loadbalancer --policy-name my-SSLNegotiation-policy
```
La respuesta incluye la descripción de la política.
1. Use el siguiente comando [set-load-balancer-policies-of-listener](https://docs.aws.amazon.com/cli/latest/reference/elb/set-load-balancer-policies-of-listener.html) para habilitar la política en el puerto 443 del balanceador de carga:
```
aws elb set-load-balancer-policies-of-listener --load-balancer-name my-loadbalancer --load-balancer-port 443 --policy-names my-SSLNegotiation-policy
```
**nota**
El comando `set-load-balancer-policies-of-listener` reemplaza el conjunto de políticas que se aplica actualmente en el puerto del equilibrador de carga especificado por el conjunto de políticas proporcionado. La lista `--policy-names` debería incluir todas las políticas que se van a habilitar. Si se omite una política que actualmente está habilitada, se desactivará.
1. (Opcional) Usa el siguiente [describe-load-balancers](https://docs.aws.amazon.com/cli/latest/reference/elb/describe-load-balancers.html)comando para comprobar que la nueva política esté habilitada para el puerto del equilibrador de carga:
```
aws elb describe-load-balancers --load-balancer-name my-loadbalancer
```
En la respuesta, puede verse que la política está habilitada en el puerto 443.
```
...
{
"Listener": {
"InstancePort": 443,
"SSLCertificateId": "ARN",
"LoadBalancerPort": 443,
"Protocol": "HTTPS",
"InstanceProtocol": "HTTPS"
},
"PolicyNames": [
"my-SSLNegotiation-policy"
]
}
...
```