View a markdown version of this page

Actualizar un oyente de TLS para el equilibrador de carga de red - Elastic Load Balancing
Reemplazar el certificado predeterminadoAñadir certificados a la lista de certificadosQuitar certificados de la lista de certificadosActualizar la política de seguridadActualizar la política de ALPN

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Actualizar un oyente de TLS para el equilibrador de carga de red

Después de crear un agente de escucha TLS, puede reemplazar el certificado predeterminado, agregar o quitar certificados de la lista de certificados, actualizar la política de seguridad o actualizar la política de ALPN.

Reemplazar el certificado predeterminado

Puede reemplazar el certificado predeterminado del oyente TLS según sea necesario. Para obtener más información, consulte Certificado predeterminado.

Console
Para reemplazar el certificado predeterminado

  1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación, seleccione Load Balancers.

  3. Seleccione el equilibrador de carga.

  4. En la pestaña de Oyentes, elija el texto de la columna Protocol:Port para abrir la página de detalles del oyente.

  5. En la pestaña Certificados, elija Cambiar el valor predeterminado.

  6. En la tabla de certificados de ACM e IAM, seleccione un nuevo certificado predeterminado.

  7. (Opcional) De forma predeterminada, seleccionamos Agregar certificado predeterminado anterior a la lista de certificados del oyente. Recomendamos mantener esta opción seleccionada, a menos que actualmente no tenga certificados de oyente para SNI y dependa de la reanudación de sesión TLS.

  8. Seleccione Guardar como predeterminado.

AWS CLI
Para reemplazar el certificado predeterminado

Utilice el comando modify-oyente.

aws elbv2 modify-listener \
    --listener-arn listener-arn \
    --certificates CertificateArn=new-default-certificate-arn
CloudFormation
Para reemplazar el certificado predeterminado

Actualice el AWS::ElasticLoadBalancingV2::Listenerrecurso con el nuevo certificado predeterminado.

Resources:
  myTLSListener:
    Type: 'AWS::ElasticLoadBalancingV2::Listener'
    Properties:
      LoadBalancerArn: !Ref myLoadBalancer
      Protocol: TLS
      Port: 443
      DefaultActions:
        - Type: forward
          TargetGroupArn: !Ref myTargetGroup
      SslPolicy: "ELBSecurityPolicy-TLS13-1-2-2021-06"
      Certificates:
        - CertificateArn: "new-default-certificate-arn"

Añadir certificados a la lista de certificados

Puede añadir certificados a la lista de certificados para su oyente utilizando el siguiente procedimiento. Al crear por primera vez un agente de escucha TLS, la lista de certificados está vacía. Puede agregar el certificado predeterminado a la lista de certificados para garantizar que este certificado se utilice con el protocolo SNI, incluso si se reemplaza como certificado predeterminado. Para obtener más información, consulte Lista de certificados.

Console
Para agregar certificados a la lista de certificados

  1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación, seleccione Equilibradores de carga.

  3. Seleccione el nombre del equilibrador de carga para abrir su página de detalles.

  4. En la pestaña de Oyentes, elija el texto de la columna Protocol:Port para abrir la página de detalles del oyente.

  5. Seleccione la pestaña Certificados.

  6. Para agregar el certificado predeterminado a la lista, seleccione Agregar predeterminado a la lista.

  7. Para agregar a la lista certificados que no sean predeterminados, haga lo siguiente:

    1. Seleccione Agregar certificado.

    2. Para agregar certificados que ya administra ACM o IAM, seleccione las casillas de verificación de los certificados y elija Incluir como pendiente a continuación.

    3. Para agregar un certificado que no sea administrado por ACM o IAM, seleccione Importar certificado, complete el formulario y elija Importar.

    4. Elija Agregar certificados pendientes.

AWS CLI
Para agregar certificados a la lista de certificados

Utilice el comando add-listener-certificates.

aws elbv2 add-listener-certificates \
    --listener-arn listener-arn \
    --certificates \
        CertificateArn=certificate-arn-1 \
        CertificateArn=certificate-arn-2 \
        CertificateArn=certificate-arn-3
CloudFormation
Para agregar certificados a la lista de certificados

Defina un tipo de recurso AWS::ElasticLoadBalancingV2::ListenerCertificate.

Resources: 
  myCertificateList:
    Type: 'AWS::ElasticLoadBalancingV2::ListenerCertificate'
    Properties:
      ListenerArn: !Ref myTLSListener
      Certificates:
        - CertificateArn: "certificate-arn-1"
        - CertificateArn: "certificate-arn-2"
        - CertificateArn: "certificate-arn-3"

  myTLSListener:
    Type: AWS::ElasticLoadBalancingV2::Listener
    Properties:
      LoadBalancerArn: !Ref myLoadBalancer
      Protocol: TLSS
      Port: 443
      SslPolicy: "ELBSecurityPolicy-TLS13-1-2-2021-06"
      Certificates:
        - CertificateArn: "certificate-arn-1"
      DefaultActions:
        - Type: forward
          TargetGroupArn: !Ref myTargetGroup

Quitar certificados de la lista de certificados

Puede quitar certificados de la lista de certificados de un agente de escucha TLS mediante el siguiente procedimiento. Después de eliminar un certificado, el oyente ya no puede crear conexiones con ese certificado. Para asegurarse de que los clientes no se vean afectados, agregue un nuevo certificado a la lista y confirme que las conexiones funcionan antes de eliminar un certificado de la lista.

Para quitar el certificado predeterminado de un agente de escucha TLS, consulte Reemplazar el certificado predeterminado.

Console
Para eliminar certificados de la lista de certificados

  1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación, seleccione Equilibradores de carga.

  3. Seleccione el nombre del equilibrador de carga para abrir su página de detalles.

  4. En la pestaña de Oyentes, elija el texto de la columna Protocol:Port para abrir la página de detalles del oyente.

  5. En la pestaña Certificados, seleccione la casillas de los certificados y elija Eliminar.

  6. Cuando se le solicite confirmación, ingrese confirm y elija Eliminar.

AWS CLI
Para eliminar certificados de la lista de certificados

Utilice el comando remove-listener-certificates.

aws elbv2 remove-listener-certificates \
    --listener-arn listener-arn \
    --certificates CertificateArn=certificate-arn

Actualizar la política de seguridad

Cuando cree un agente de escucha TLS, puede seleccionar la política de seguridad que mejor se ajuste a sus necesidades. Cuando se agrega una política de seguridad nueva, puede actualizar el oyente de TLS para que la utilice. Los equilibradores de carga de red no admiten las políticas de seguridad personalizadas. Para obtener más información, consulte Políticas de seguridad para el equilibrador de carga de red.

Actualizar la política de seguridad puede ocasionar interrupciones si el equilibrador de carga maneja un alto volumen de tráfico. Para reducir la posibilidad de interrupciones cuando el equilibrador de carga maneja un alto volumen de tráfico, cree un equilibrador de carga adicional para ayudar a manejar el tráfico o solicite una reserva de LCU.

Console
Para actualizar la política de seguridad

  1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación, seleccione Equilibradores de carga.

  3. Seleccione el nombre del equilibrador de carga para abrir su página de detalles.

  4. En la pestaña de Oyentes, elija el texto de la columna Protocol:Port para abrir la página de detalles del oyente.

  5. Seleccione Acciones y, a continuación, Editar oyente.

  6. En la sección Configuración segura del oyente, en Política de seguridad, elija una nueva política de seguridad.

  7. Seleccione Save changes (Guardar cambios).

AWS CLI
Para actualizar la política de seguridad

Utilice el comando modify-oyente.

aws elbv2 modify-listener \
    --listener-arn listener-arn \
    --ssl-policy ELBSecurityPolicy-TLS13-1-2-Res-2021-06
CloudFormation
Para actualizar la política de seguridad

Actualice el AWS::ElasticLoadBalancingV2::Listenerrecurso con la nueva política de seguridad.

Resources:
  myTLSListener:
    Type: 'AWS::ElasticLoadBalancingV2::Listener'
    Properties:
      LoadBalancerArn: !Ref myLoadBalancer
      Protocol: TLS
      Port: 443
      SslPolicy: "ELBSecurityPolicy-TLS13-1-2-2021-06"
      Certificates:
        - CertificateArn: "default-certificate-arn"
      DefaultActions:
        - Type: forward
          TargetGroupArn: !Ref myTargetGroup

Actualizar la política de ALPN

Puede actualizar la política ALPN del oyente TLS según sea necesario. Para obtener más información, consulte Políticas de ALPN.

Console
Para actualizar la política ALPN

  1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación, seleccione Equilibradores de carga.

  3. Seleccione el nombre del equilibrador de carga para abrir su página de detalles.

  4. En la pestaña de Oyentes, elija el texto de la columna Protocol:Port para abrir la página de detalles del oyente.

  5. Seleccione Acciones y, a continuación, Editar oyente.

  6. En la sección Configuración segura del oyente, en Política ALPN, seleccione una política para habilitar ALPN o elija Ninguna para desactivar ALPN.

  7. Seleccione Save changes (Guardar cambios).

AWS CLI
Para actualizar la política ALPN

Utilice el comando modify-oyente.

aws elbv2 modify-listener \
    --listener-arn listener-arn \
    --alpn-policy HTTP2Preferred
CloudFormation
Para actualizar la política ALPN

Actualice el AWS::ElasticLoadBalancingV2::Listenerrecurso para incluir la política de ALPN.

Resources:
  myTLSListener:
    Type: 'AWS::ElasticLoadBalancingV2::Listener'
    Properties:
      LoadBalancerArn: !Ref myLoadBalancer
      Protocol: TLS
      Port: 443
      SslPolicy: "ELBSecurityPolicy-TLS13-1-2-Res-2021-06"
      AlpnPolicy:
        - HTTP2Preferred
      Certificates:
        - CertificateArn: "certificate-arn"
      DefaultActions:
        - Type: forward
          TargetGroupArn: !Ref myTargetGroup