Untuk memperbarui pendengar TLS untuk Penyeimbang Beban Jaringan Anda - Elastic Load Balancing
Mengganti sertifikat defaultMenambahkan sertifikat ke daftar sertifikatMenghapus sertifikat dari daftar sertifikatMemperbarui kebijakan keamananMemperbarui kebijakan ALPN

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Untuk memperbarui pendengar TLS untuk Penyeimbang Beban Jaringan Anda

Setelah Anda membuat pendengar TLS, Anda dapat mengganti sertifikat default, menambah atau menghapus sertifikat dari daftar sertifikat, memperbarui kebijakan keamanan, atau memperbarui kebijakan ALPN.

Mengganti sertifikat default

Anda dapat mengganti sertifikat default untuk pendengar TLS sesuai kebutuhan. Untuk informasi selengkapnya, lihat Sertifikat default.

Console
Untuk mengganti sertifikat default

  1. Buka EC2 konsol Amazon di https://console.aws.amazon.com/ec2/.

  2. Pada panel navigasi, pilih Load Balancers.

  3. Pilih penyeimbang beban.

  4. Pada tab Listeners, pilih teks di kolom Protocol:Port untuk membuka halaman detail untuk listener.

  5. Pada tab Sertifikat, pilih Ubah default.

  6. Dalam tabel sertifikat ACM dan IAM, pilih sertifikat default baru.

  7. (Opsional) Secara default, kami memilih Tambahkan sertifikat default sebelumnya ke daftar sertifikat pendengar. Kami menyarankan agar Anda tetap memilih opsi ini, kecuali saat ini Anda tidak memiliki sertifikat pendengar untuk SNI dan mengandalkan dimulainya kembali sesi TLS.

  8. Pilih Simpan sebagai default.

AWS CLI
Untuk mengganti sertifikat default

Gunakan perintah modifikasi-listener.

aws elbv2 modify-listener \
    --listener-arn listener-arn \
    --certificates CertificateArn=new-default-certificate-arn
CloudFormation
Untuk mengganti sertifikat default

Perbarui AWS::ElasticLoadBalancingV2::Listenersumber daya dengan sertifikat default baru.

Resources:
  myTLSListener:
    Type: 'AWS::ElasticLoadBalancingV2::Listener'
    Properties:
      LoadBalancerArn: !Ref myLoadBalancer
      Protocol: TLS
      Port: 443
      DefaultActions:
        - Type: forward
          TargetGroupArn: !Ref myTargetGroup
      SslPolicy: "ELBSecurityPolicy-TLS13-1-2-2021-06"
      Certificates:
        - CertificateArn: "new-default-certificate-arn"

Menambahkan sertifikat ke daftar sertifikat

Anda dapat menambahkan sertifikat ke daftar sertifikat untuk pendengar Anda menggunakan prosedur berikut. Ketika Anda pertama kali membuat pendengar TLS, daftar sertifikat kosong. Anda dapat menambahkan sertifikat default ke daftar sertifikat untuk memastikan bahwa sertifikat ini digunakan dengan protokol SNI meskipun diganti sebagai sertifikat default. Untuk informasi selengkapnya, lihat Daftar sertifikat.

Console
Untuk menambahkan sertifikat ke daftar sertifikat

  1. Buka EC2 konsol Amazon di https://console.aws.amazon.com/ec2/.

  2. Di panel navigasi, pilih Load Balancers.

  3. Pilih nama penyeimbang beban untuk membuka halaman detailnya.

  4. Pada tab Listeners, pilih teks di kolom Protocol:Port untuk membuka halaman detail untuk listener.

  5. Pilih tab Sertifikat.

  6. Untuk menambahkan sertifikat default ke daftar, pilih Tambahkan default ke daftar.

  7. Untuk menambahkan sertifikat nondefault ke daftar, lakukan hal berikut:

    1. Pilih Tambahkan sertifikat.

    2. Untuk menambahkan sertifikat yang sudah dikelola oleh ACM atau IAM, pilih kotak centang untuk sertifikat dan pilih Sertakan sebagai tertunda di bawah ini.

    3. Untuk menambahkan sertifikat yang tidak dikelola oleh ACM atau IAM, pilih Impor sertifikat, lengkapi formulir, dan pilih Impor.

    4. Pilih Tambahkan sertifikat yang tertunda.

AWS CLI
Untuk menambahkan sertifikat ke daftar sertifikat

Gunakan perintah add-listener-certificates.

aws elbv2 add-listener-certificates \
    --listener-arn listener-arn \
    --certificates \
        CertificateArn=certificate-arn-1 \
        CertificateArn=certificate-arn-2 \
        CertificateArn=certificate-arn-3
CloudFormation
Untuk menambahkan sertifikat ke daftar sertifikat

Tentukan sumber daya tipe AWS::ElasticLoadBalancingV2::ListenerCertificate.

Resources: 
  myCertificateList:
    Type: 'AWS::ElasticLoadBalancingV2::ListenerCertificate'
    Properties:
      ListenerArn: !Ref myTLSListener
      Certificates:
        - CertificateArn: "certificate-arn-1"
        - CertificateArn: "certificate-arn-2"
        - CertificateArn: "certificate-arn-3"

  myTLSListener:
    Type: AWS::ElasticLoadBalancingV2::Listener
    Properties:
      LoadBalancerArn: !Ref myLoadBalancer
      Protocol: TLSS
      Port: 443
      SslPolicy: "ELBSecurityPolicy-TLS13-1-2-2021-06"
      Certificates:
        - CertificateArn: "certificate-arn-1"
      DefaultActions:
        - Type: forward
          TargetGroupArn: !Ref myTargetGroup

Menghapus sertifikat dari daftar sertifikat

Anda dapat menghapus sertifikat dari daftar sertifikat untuk pendengar TLS menggunakan prosedur berikut. Setelah Anda menghapus sertifikat, pendengar tidak dapat lagi membuat koneksi menggunakan sertifikat tersebut. Untuk memastikan bahwa klien tidak terpengaruh, tambahkan sertifikat baru ke daftar dan konfirmasikan bahwa koneksi berfungsi sebelum Anda menghapus sertifikat dari daftar.

Untuk menghapus sertifikat default untuk pendengar TLS, lihat Mengganti sertifikat default.

Console
Untuk menghapus sertifikat dari daftar sertifikat

  1. Buka EC2 konsol Amazon di https://console.aws.amazon.com/ec2/.

  2. Di panel navigasi, pilih Load Balancers.

  3. Pilih nama penyeimbang beban untuk membuka halaman detailnya.

  4. Pada tab Listeners, pilih teks di kolom Protocol:Port untuk membuka halaman detail untuk listener.

  5. Pada tab Sertifikat, pilih kotak centang untuk sertifikat dan pilih Hapus.

  6. Saat diminta konfirmasi, masukkan confirm dan pilih Hapus.

AWS CLI
Untuk menghapus sertifikat dari daftar sertifikat

Gunakan perintah remove-listener-certificates.

aws elbv2 remove-listener-certificates \
    --listener-arn listener-arn \
    --certificates CertificateArn=certificate-arn

Memperbarui kebijakan keamanan

Ketika Anda membuat pendengar TLS, Anda dapat memilih kebijakan keamanan yang memenuhi kebutuhan Anda. Ketika kebijakan keamanan baru ditambahkan, Anda dapat memperbarui pendengar TLS Anda untuk menggunakan kebijakan keamanan baru. Penyeimbang Beban Jaringan tidak mendukung kebijakan keamanan kustom. Untuk informasi selengkapnya, lihat Kebijakan keamanan untuk Network Load Balancer.

Memperbarui kebijakan keamanan dapat mengakibatkan gangguan jika penyeimbang beban menangani volume lalu lintas yang tinggi. Untuk mengurangi kemungkinan gangguan ketika penyeimbang beban Anda menangani volume lalu lintas yang tinggi, buat penyeimbang beban tambahan untuk membantu menangani lalu lintas atau meminta reservasi LCU.

Console
Untuk memperbarui kebijakan keamanan

  1. Buka EC2 konsol Amazon di https://console.aws.amazon.com/ec2/.

  2. Di panel navigasi, pilih Load Balancers.

  3. Pilih nama penyeimbang beban untuk membuka halaman detailnya.

  4. Pada tab Listeners, pilih teks di kolom Protocol:Port untuk membuka halaman detail untuk listener.

  5. Pilih Tindakan, Edit pendengar.

  6. Di bagian Pengaturan pendengar aman, di bawah Kebijakan keamanan, pilih kebijakan keamanan baru.

  7. Pilih Simpan perubahan.

AWS CLI
Untuk memperbarui kebijakan keamanan

Gunakan perintah modifikasi-listener.

aws elbv2 modify-listener \
    --listener-arn listener-arn \
    --ssl-policy ELBSecurityPolicy-TLS13-1-2-Res-2021-06
CloudFormation
Untuk memperbarui kebijakan keamanan

Perbarui AWS::ElasticLoadBalancingV2::Listenersumber daya dengan kebijakan keamanan baru.

Resources:
  myTLSListener:
    Type: 'AWS::ElasticLoadBalancingV2::Listener'
    Properties:
      LoadBalancerArn: !Ref myLoadBalancer
      Protocol: TLS
      Port: 443
      SslPolicy: "ELBSecurityPolicy-TLS13-1-2-2021-06"
      Certificates:
        - CertificateArn: "default-certificate-arn"
      DefaultActions:
        - Type: forward
          TargetGroupArn: !Ref myTargetGroup

Memperbarui kebijakan ALPN

Anda dapat memperbarui kebijakan ALPN untuk pendengar TLS sesuai kebutuhan. Untuk informasi selengkapnya, lihat Kebijakan ALPN.

Console
Untuk memperbarui kebijakan ALPN

  1. Buka EC2 konsol Amazon di https://console.aws.amazon.com/ec2/.

  2. Di panel navigasi, pilih Load Balancers.

  3. Pilih nama penyeimbang beban untuk membuka halaman detailnya.

  4. Pada tab Listeners, pilih teks di kolom Protocol:Port untuk membuka halaman detail untuk listener.

  5. Pilih Tindakan, Edit pendengar.

  6. Di bagian Pengaturan pendengar aman, untuk kebijakan ALPN, pilih kebijakan untuk mengaktifkan ALPN atau pilih Tidak Ada untuk menonaktifkan ALPN.

  7. Pilih Simpan perubahan.

AWS CLI
Untuk memperbarui kebijakan ALPN

Gunakan perintah modifikasi-listener.

aws elbv2 modify-listener \
    --listener-arn listener-arn \
    --alpn-policy HTTP2Preferred
CloudFormation
Untuk memperbarui kebijakan ALPN

Perbarui AWS::ElasticLoadBalancingV2::Listenersumber daya untuk menyertakan kebijakan ALPN.

Resources:
  myTLSListener:
    Type: 'AWS::ElasticLoadBalancingV2::Listener'
    Properties:
      LoadBalancerArn: !Ref myLoadBalancer
      Protocol: TLS
      Port: 443
      SslPolicy: "ELBSecurityPolicy-TLS13-1-2-Res-2021-06"
      AlpnPolicy:
        - HTTP2Preferred
      Certificates:
        - CertificateArn: "certificate-arn"
      DefaultActions:
        - Type: forward
          TargetGroupArn: !Ref myTargetGroup