Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Mise à jour d'un écouteur TLS pour votre Network Load Balancer
Après avoir créé un écouteur TLS, vous pouvez remplacer le certificat par défaut, ajouter ou supprimer des certificats de la liste des certificats, mettre à jour la stratégie de sécurité ou mettre à jour la stratégie ALPN.
Remplacer le certificat par défaut
Vous pouvez remplacer le certificat par défaut de votre écouteur TLS selon vos besoins. Pour de plus amples informations, veuillez consulter Certificat par défaut.
- Console
-
Pour remplacer le certificat par défaut
Ouvrez la EC2 console Amazon à l'adresse https://console.aws.amazon.com/ec2/.
-
Dans le volet de navigation, choisissez Load Balancers (Équilibreurs de charge).
-
Sélectionnez l'équilibreur de charge.
-
Dans l'onglet Écouteurs, choisissez le texte dans la colonne Protocole : port pour ouvrir la page détaillée de l'écouteur.
-
Dans l'onglet Certificats, choisissez Modifier les valeurs par défaut.
-
Dans le tableau Certificats ACM et IAM, sélectionnez un nouveau certificat par défaut.
-
(Facultatif) Par défaut, nous sélectionnons Ajouter le certificat par défaut précédent à la liste des certificats d'écouteur. Nous vous recommandons de conserver cette option sélectionnée, sauf si vous ne possédez actuellement aucun certificat d'écouteur pour le SNI et que vous comptez sur la reprise de session TLS.
-
Choisissez Enregistrer par défaut.
- AWS CLI
-
Pour remplacer le certificat par défaut
Utilisez la commande modify-listener.
aws elbv2 modify-listener \
--listener-arn listener-arn \
--certificates CertificateArn=new-default-certificate-arn
- CloudFormation
-
Pour remplacer le certificat par défaut
Mettez à jour la AWS::ElasticLoadBalancingV2::Listenerressource avec le nouveau certificat par défaut.
Resources:
myTLSListener:
Type: 'AWS::ElasticLoadBalancingV2::Listener'
Properties:
LoadBalancerArn: !Ref myLoadBalancer
Protocol: TLS
Port: 443
DefaultActions:
- Type: forward
TargetGroupArn: !Ref myTargetGroup
SslPolicy: "ELBSecurityPolicy-TLS13-1-2-2021-06"
Certificates:
- CertificateArn: "new-default-certificate-arn"
Ajouter des certificats à la liste des certificats
Vous pouvez ajouter des certificats à la liste destinée à votre écouteur à l'aide de la procédure qui suit. Lorsque vous créez un écouteur TLS pour la première fois, la liste des certificats est vide. Vous pouvez ajouter le certificat par défaut à la liste des certificats pour vous assurer qu'il est utilisé avec le protocole SNI même s'il est remplacé en tant que certificat par défaut. Pour de plus amples informations, veuillez consulter Liste de certificats.
- Console
-
Pour ajouter des certificats à la liste des certificats
Ouvrez la EC2 console Amazon à l'adresse https://console.aws.amazon.com/ec2/.
-
Dans le volet de navigation, choisissez Load Balancers.
-
Choisissez le nom de l'équilibreur de charge afin d'ouvrir sa page détaillée.
-
Dans l'onglet Écouteurs, choisissez le texte dans la colonne Protocole : port pour ouvrir la page détaillée de l'écouteur.
-
Choisissez l'onglet Certificates (Certificats).
-
Pour ajouter le certificat par défaut à la liste, choisissez Ajouter le certificat par défaut à la liste.
-
Pour ajouter des certificats autres que ceux par défaut à la liste, procédez comme suit :
-
Choisissez Ajouter un certificat.
-
Pour ajouter des certificats déjà gérés par ACM ou IAM, sélectionnez les cases à cocher pour les certificats et choisissez Inclure comme étant en attente ci-dessous.
-
Pour ajouter un certificat qui n'est pas géré par ACM ou IAM, choisissez Importer un certificat, complétez le formulaire, puis choisissez Importer.
-
Choisissez Ajouter des certificats en attente.
- AWS CLI
-
Pour ajouter des certificats à la liste des certificats
Utilisez la commande add-listener-certificates.
aws elbv2 add-listener-certificates \
--listener-arn listener-arn \
--certificates \
CertificateArn=certificate-arn-1 \
CertificateArn=certificate-arn-2 \
CertificateArn=certificate-arn-3
- CloudFormation
-
Pour ajouter des certificats à la liste des certificats
Définissez un type de ressource AWS::ElasticLoadBalancingV2::ListenerCertificate.
Resources:
myCertificateList:
Type: 'AWS::ElasticLoadBalancingV2::ListenerCertificate'
Properties:
ListenerArn: !Ref myTLSListener
Certificates:
- CertificateArn: "certificate-arn-1"
- CertificateArn: "certificate-arn-2"
- CertificateArn: "certificate-arn-3"
myTLSListener:
Type: AWS::ElasticLoadBalancingV2::Listener
Properties:
LoadBalancerArn: !Ref myLoadBalancer
Protocol: TLSS
Port: 443
SslPolicy: "ELBSecurityPolicy-TLS13-1-2-2021-06"
Certificates:
- CertificateArn: "certificate-arn-1"
DefaultActions:
- Type: forward
TargetGroupArn: !Ref myTargetGroup
Supprimer des certificats de la liste des certificats
Vous pouvez supprimer des certificats de la liste destinée à un écouteur TLS à l'aide de la procédure suivante. Une fois que vous avez supprimé un certificat, l'écouteur ne peut plus créer de connexions à l'aide de ce certificat. Pour vous assurer que les clients ne sont pas concernés, ajoutez un nouveau certificat à la liste et vérifiez que les connexions fonctionnent avant de supprimer un certificat de la liste.
Pour supprimer le certificat par défaut d'un écouteur TLS, consultez Remplacer le certificat par défaut.
- Console
-
Pour supprimer des certificats de la liste des certificats
Ouvrez la EC2 console Amazon à l'adresse https://console.aws.amazon.com/ec2/.
-
Dans le volet de navigation, choisissez Load Balancers.
-
Choisissez le nom de l'équilibreur de charge afin d'ouvrir sa page détaillée.
-
Dans l'onglet Écouteurs, choisissez le texte dans la colonne Protocole : port pour ouvrir la page détaillée de l'écouteur.
-
Dans l'onglet Certificats, cochez les cases des certificats, puis cliquez sur Supprimer.
-
À l'invite de confirmation, saisissez confirm, puis choisissez Supprimer.
- AWS CLI
-
Pour supprimer des certificats de la liste des certificats
Utilisez la commande remove-listener-certificates.
aws elbv2 remove-listener-certificates \
--listener-arn listener-arn \
--certificates CertificateArn=certificate-arn
Mettre à jour la stratégie de sécurité
Lorsque vous créez un écouteur TLS, vous pouvez sélectionner la stratégie de sécurité qui correspond à vos besoins. Lorsqu'une nouvelle stratégie de sécurité est ajoutée, vous pouvez mettre à jour votre écouteur TLS afin de pouvoir l'utiliser. Les Network Load Balancers ne prennent pas en charge les stratégies de sécurité personnalisées. Pour de plus amples informations, veuillez consulter Politiques de sécurité pour votre Network Load Balancer.
La mise à jour de la politique de sécurité peut entraîner des perturbations si l'équilibreur de charge gère un volume de trafic élevé. Pour réduire les risques de perturbations lorsque votre équilibreur de charge gère un volume de trafic élevé, créez un équilibreur de charge supplémentaire pour aider à gérer le trafic ou demandez une réservation de LCU.
- Console
-
Pour mettre à jour la politique de sécurité
Ouvrez la EC2 console Amazon à l'adresse https://console.aws.amazon.com/ec2/.
-
Dans le volet de navigation, choisissez Load Balancers.
-
Choisissez le nom de l'équilibreur de charge afin d'ouvrir sa page détaillée.
-
Dans l'onglet Écouteurs, choisissez le texte dans la colonne Protocole : port pour ouvrir la page détaillée de l'écouteur.
-
Choisissez Actions, puis Modifier l'écouteur.
-
Dans la section Paramètres de l'écouteur sécurisé, sous Politique de sécurité, choisissez une nouvelle politique de sécurité.
-
Sélectionnez Enregistrer les modifications.
- AWS CLI
-
Pour mettre à jour la politique de sécurité
Utilisez la commande modify-listener.
aws elbv2 modify-listener \
--listener-arn listener-arn \
--ssl-policy ELBSecurityPolicy-TLS13-1-2-Res-2021-06
- CloudFormation
-
Pour mettre à jour la politique de sécurité
Mettez à jour la AWS::ElasticLoadBalancingV2::Listenerressource avec la nouvelle politique de sécurité.
Resources:
myTLSListener:
Type: 'AWS::ElasticLoadBalancingV2::Listener'
Properties:
LoadBalancerArn: !Ref myLoadBalancer
Protocol: TLS
Port: 443
SslPolicy: "ELBSecurityPolicy-TLS13-1-2-2021-06"
Certificates:
- CertificateArn: "default-certificate-arn"
DefaultActions:
- Type: forward
TargetGroupArn: !Ref myTargetGroup
Mettre à jour la stratégie ALPN
Vous pouvez mettre à jour la politique ALPN pour votre écouteur TLS selon vos besoins. Pour de plus amples informations, veuillez consulter Stratégies ALPN.
- Console
-
Pour mettre à jour la politique ALPN
Ouvrez la EC2 console Amazon à l'adresse https://console.aws.amazon.com/ec2/.
-
Dans le volet de navigation, choisissez Load Balancers.
-
Choisissez le nom de l'équilibreur de charge afin d'ouvrir sa page détaillée.
-
Dans l'onglet Écouteurs, choisissez le texte dans la colonne Protocole : port pour ouvrir la page détaillée de l'écouteur.
-
Choisissez Actions, puis Modifier l'écouteur.
-
Dans la section Paramètres de l'écouteur sécurisé, pour la politique ALPN, choisissez une politique pour activer ALPN ou choisissez None pour désactiver ALPN.
-
Sélectionnez Enregistrer les modifications.
- AWS CLI
-
Pour mettre à jour la politique ALPN
Utilisez la commande modify-listener.
aws elbv2 modify-listener \
--listener-arn listener-arn \
--alpn-policy HTTP2Preferred
- CloudFormation
-
Pour mettre à jour la politique ALPN
Mettez à jour la AWS::ElasticLoadBalancingV2::Listenerressource pour inclure la politique ALPN.
Resources:
myTLSListener:
Type: 'AWS::ElasticLoadBalancingV2::Listener'
Properties:
LoadBalancerArn: !Ref myLoadBalancer
Protocol: TLS
Port: 443
SslPolicy: "ELBSecurityPolicy-TLS13-1-2-Res-2021-06"
AlpnPolicy:
- HTTP2Preferred
Certificates:
- CertificateArn: "certificate-arn"
DefaultActions:
- Type: forward
TargetGroupArn: !Ref myTargetGroup
