Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà. # Listener HTTPS per Classic Load Balancer Listener HTTPS È possibile creare un sistema di bilanciamento del carico che utilizza il SSL/TLS protocollo per le connessioni crittografate (noto anche come offload *SSL*). Questa caratteristica consente di abilitare la crittografia del traffico tra il load balancer e i client che avviano sessioni HTTPS e per le connessioni tra il load balancer e le istanze EC2. Elastic Load Balancing utilizza le configurazioni di negoziazione Secure Sockets Layer (SSL), note come *policy di sicurezza*, per negoziare le connessioni tra i client e il load balancer. Quando si utilizza HTTPS/SSL per le connessioni front-end, è possibile utilizzare una politica di sicurezza predefinita o una politica di sicurezza personalizzata. Devi distribuire un certificato SSL sul load balancer. Il load balancer utilizza questo certificato per terminare la connessione e decrittografare le richieste provenienti dai client prima di inviarle alle istanze. Il load balancer utilizza una suite di crittografia statica per connessioni back-end. Facoltativamente, puoi scegliere di abilitare l'autenticazione sulle tue istanze. Classic Load Balancer non supporta Server Name Indication (SNI). Puoi utilizzare invece una delle seguenti alternative: + Implementa un certificato sul load balancer e aggiungi un Subject Alternative Name (SAN) per ogni sito Web aggiuntivo. SANs consentono di proteggere più nomi host utilizzando un unico certificato. Rivolgiti al tuo fornitore di certificati per ulteriori informazioni sul numero di SANs certificati supportati per certificato e su come aggiungere e rimuovere SANs. + Utilizzare listener TCP sulla porta 443 per le connessioni front-end e back-end. Il load balancer passa la richiesta così com'è, in modo da poter gestire l'arresto di HTTPS sull'istanza EC2. I Classic Load Balancer non supportano l'autenticazione TLS (Mutual TLS). Per il supporto MTL, crea un listener TCP. Il load balancer passa la richiesta così com'è, in modo da poter implementare mTLS sul'istanza EC2. **Topics** + [Certificati SSL/TLS](ssl-server-cert.md) + [Configurazioni della negoziazione SSL](elb-ssl-security-policy.md) + [Policy di sicurezza SSL predefinite](elb-security-policy-table.md) + [Creazione un load balancer HTTPS](elb-create-https-ssl-load-balancer.md) + [Configurazione di un listener HTTPS](elb-add-or-delete-listeners.md) + [Sostituzione del certificato SSL](elb-update-ssl-cert.md) + [Aggiornamento della configurazione di negoziazione SSL](ssl-config-update.md) # Certificati SSL/TLS per Classic Load Balancer Certificati SSL/TLS Se si utilizza HTTPS (SSL o TLS) per il listener front-end, occorre distribuire un certificato SSL/TLS sul load balancer. Il load balancer utilizza il certificato per terminare la connessione e decrittografare le richieste provenienti dai client prima di inviarle alle istanze. I protocolli SSL e TLS utilizzano un certificato X.509 (certificato del server SSL/TLS) per autenticare il client e l'applicazione back-end. Un certificato X.509 è una forma di identificazione digitale rilasciata da un'autorità di certificazione (CA) e contiene informazioni di identificazione, un periodo di validità, una chiave pubblica, un numero di serie e la firma digitale dell'emittente. È possibile creare un certificato utilizzando AWS Certificate Manager o uno strumento che supporti i protocolli SSL e TLS, come OpenSSL. Questo certificato verrà specificato durate la creazione o l'aggiornamento di un listener HTTPS per il load balancer. Quando si crea un certificato da utilizzare con il load balancer, occorre specificare un nome di dominio. Quando si crea un certificato da utilizzare con il load balancer, occorre specificare un nome di dominio. Il nome di dominio sul certificato deve corrispondere al record del nome di dominio personalizzato. Se non corrispondono, il traffico non verrà crittografato poiché la connessione TLS non potrà essere verificata. È necessario specificare un nome di dominio completo (FQDN) per il certificato, ad esempio `www.example.com` o un nome di dominio apex, ad esempio `example.com`. Per proteggere diversi nomi di siti nello stesso dominio, è inoltre possibile utilizzare un asterisco (\$1) come carattere jolly. Quando si fa richiesta di un certificato jolly, l'asterisco (\$1) deve essere nella posizione più a sinistra nel nome di dominio e può proteggere solo un livello di sottodominio. Ad esempio, `*.example.com` protegge `corp.example.com` e `images.example.com`, ma non può proteggere `test.login.example.com`. Si noti inoltre come `*.example.com` protegga solo i sottodomini di `example.com` e non il dominio essenziale o apex (`example.com`). Il nome con il carattere jolly apparirà nel campo **Oggetto** e nell'estensione **Nome oggetto alternativo** del certificato. Per ulteriori informazioni sui certificati pubblici, consulta [Richiesta di un certificato pubblico](https://docs.aws.amazon.com/acm/latest/userguide/gs-acm-request-public.html#request-public-console) nella *Guida per l'utente di AWS Certificate Manager *. ## Crea o importa un certificato utilizzando SSL/TLS AWS Certificate Manager Ti consigliamo di utilizzare AWS Certificate Manager (ACM) per creare o importare certificati per il tuo sistema di bilanciamento del carico. ACM si integra con Elastic Load Balancing in modo da poter implementare il certificato sul load balancer. Per implementare un certificato sul load balancer, esso deve trovarsi nella stessa regione del load balancer. Per ulteriori informazioni, consulta [Richiesta di un certificato pubblico](https://docs.aws.amazon.com/acm/latest/userguide/gs-acm-request-public.html) o [Importazione di certificati](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate.html) nella *Guida per l'utente di AWS Certificate Manager *. Per consentire a un utente di implementare il certificato sul sistema di bilanciamento del carico utilizzando Console di gestione AWS, occorre consentire l'accesso all'operazione dell'API `ListCertificates` ACM. Per ulteriori informazioni, consulta [Elenco dei certificati](https://docs.aws.amazon.com/acm/latest/userguide/security_iam_id-based-policy-examples.html#policy-list-certificates) nella *Guida per l'utente di AWS Certificate Manager *. **Importante** Non puoi installare certificati con chiavi RSA o chiavi CE a 4096 bit sul load balancer attraverso l'integrazione con ACM. I certificati devono essere caricati con chiavi RSA o chiavi CE a 4096 bit in IAM al fine di utilizzarli con il load balancer. ## Importa un SSL/TLS certificato utilizzando IAM Se non utilizzi ACM, puoi utilizzare SSL/TLS strumenti come OpenSSL per creare una richiesta di firma del certificato (CSR), far firmare la CSR da una CA per produrre un certificato e caricare il certificato su IAM. Per ulteriori informazioni , consulta l'argomento relativo all'[utilizzo dei certificati server](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_server-certs.html) nella *Guida per l'utente IAM*. # Configurazioni della negoziazione SSL per Classic Load Balancer Configurazioni della negoziazione SSL Elastic Load Balancing utilizza una configurazione di negoziazione Secure Socket Layer (SSL), nota come *policy di sicurezza*, per negoziare le connessioni SSL tra un client e il load balancer. Una policy di sicurezza è una combinazione di protocolli SSL, crittografie SSL e l'opzione Preferenza ordine server. Per ulteriori informazioni sulla configurazione di una connessione SSL per il load balancer, consulta [Listener per il Classic Load Balancer](elb-listener-config.md). **Topics** + [ ## Policy di sicurezza ](#security-policy-types) + [ ## Protocolli SSL ](#ssl-protocols) + [ ## Preferenza ordine server ](#server-order-preference) + [ ## Crittografie SSL ](#ssl-ciphers) + [ ## Suite di crittografia per connessioni back-end ](#elb-backend-cipher-suite) ## Policy di sicurezza Una policy di sicurezza determina quali crittografie e protocolli sono supportati durante le negoziazioni SSL tra un client e un load balancer. Puoi configurare i Classic Load Balancer per utilizzare policy predefinite o policy di sicurezza personalizzate. Tieni presente che un certificato fornito da AWS Certificate Manager (ACM) contiene una chiave pubblica RSA. Pertanto, se si utilizza un certificato fornito da ACM, nella policy di sicurezza occorre includere una suite di crittografia che utilizza RSA. In caso contrario, la connessione TLS non riesce. **Policy di sicurezza predefinite** I nomi delle policy di sicurezza predefinite più recenti includono informazioni sulla versione in base all'anno e al mese in cui sono state rilasciate. Ad esempio, la policy di sicurezza predefinita di default è `ELBSecurityPolicy-2016-08`. Ogni volta che una nuova policy di sicurezza predefinita viene rilasciata, puoi aggiornare la configurazione per utilizzarla. Per informazioni sui protocolli e le crittografie abilitate per le policy di sicurezza predefinite, consulta [Policy di sicurezza SSL predefinite per Classic Load Balancer](elb-security-policy-table.md). **Policy di sicurezza personalizzate** Puoi creare una configurazione di negoziazione personalizzata con le crittografie e i protocolli che ti servono. Ad esempio, alcuni standard di conformità in materia di sicurezza (ad esempio PCI e SOC) potrebbero richiedere un set di protocolli e crittografie specifico per assicurare che gli standard di sicurezza vengano soddisfatti. In questi casi, puoi creare una policy di sicurezza personalizzata per soddisfare tali standard. Per informazioni sulla creazione di una policy di sicurezza personalizzata, consulta [Aggiornamento della configurazione di negoziazione SSL di Classic Load Balancer](ssl-config-update.md). ## Protocolli SSL Il *protocollo SSL* stabilisce una connessione sicura tra un client e un server e garantisce che tutti i dati trasferiti tra il client e il load balancer siano privati. Secure Sockets Layer (SSL) e Transport Layer Security (TLS) sono protocolli di crittografia che vengono utilizzati per crittografare i dati riservati su reti non sicure, ad esempio Internet. Il protocollo TLS è una versione più recente del protocollo SSL. Nella documentazione Elastic Load Balancing, facciamo riferimento a entrambi i protocolli SSL e TLS come al protocollo SSL. **Protocollo consigliato** Consigliamo TLS 1.2, che viene utilizzato nella politica di sicurezza predefinita ELBSecurity Policy-TLS-1-2-2017-01. Puoi anche utilizzare TLS 1.2 nelle tue policy di sicurezza personalizzate. La politica di sicurezza predefinita supporta sia TLS 1.2 che le versioni precedenti di TLS, quindi è meno sicura di Policy-TLS-1-2-2017-01. ELBSecurity **Protocollo obsoleto** Se in precedenza hai abilitato il protocollo SSL 2.0 in una policy personalizzata, ti consigliamo di aggiornare la policy di sicurezza a una di quelle predefinite di default. ## Preferenza ordine server Elastic Load Balancing supporta l'opzione *Preferenza ordine server* per la negoziazione delle connessioni tra un client e un load balancer. Durante il processo di negoziazione della connessione SSL, il client e il load balancer forniscono un elenco di crittografie e protocolli supportati, in ordine di preferenza. Per impostazione predefinita, la prima crittografia nell'elenco del client che corrisponde a una qualsiasi delle crittografie del load balancer viene selezionata per la connessione SSL. Se il load balancer è configurato per supportare l'opzione Preferenza ordine server, seleziona la prima crittografia nel suo elenco che si trova nell'elenco di crittografie del client. In questo modo il load balancer determina quale crittografia viene utilizzata per la connessione SSL. Se l'opzione Preferenza ordine server non è abilitata, l'ordine delle cifrature presentate dal client viene utilizzato per negoziare le connessioni tra il client e il load balancer. ## Crittografie SSL Una *crittografia SSL* è un algoritmo di crittografia che utilizza chiavi di crittografia per creare un messaggio codificato. I protocolli SSL utilizzano diverse crittografie SSL per crittografare i dati su Internet. Tieni presente che un certificato fornito da (ACM) contiene una chiave pubblica RSA. AWS Certificate Manager Pertanto, se si utilizza un certificato fornito da ACM, nella policy di sicurezza occorre includere una suite di crittografia che utilizza RSA. In caso contrario, la connessione TLS non riesce. Elastic Load Balancing supporta le seguenti crittografie da utilizzare con Classic Load Balancer. Un sottoinsieme di queste crittografie viene utilizzato dalle policy SSL predefinite. Tutte queste crittografie sono disponibili per l'utilizzo in un criterio personalizzato. Ti consigliamo di utilizzare solo le crittografie incluse nella policy di sicurezza di default (quelle con un asterisco). Molte altre crittografie non sono sicure e il loro utilizzo è a proprio rischio. **Crittografie** + ECDHE-ECDSA- -GCM- \$1 AES128 SHA256 + ECDH-RSA- AES128 -GCM- \$1 SHA256 + ECDHE-ECSA AES128 - - \$1 SHA256 + ECDHE-RSA- AES128 - \$1 SHA256 + ECDHE-ECDSA AES128 - -SHA \$1 + ECDHE-RSA- AES128 -SHA \$1 + DH-RSA- AES128 -SHA + ECDHE-ECDSA- AES256 -GCM- \$1 SHA384 + ECDH-RSA- AES256 -GCM- \$1 SHA384 + ECDHE-ECSA AES256 - - \$1 SHA384 + ECDHE-RSA- AES256 - \$1 SHA384 + ECDHE-RSA AES256 - -SHA \$1 + ECDHE-ECDSA- AES256 -SHA \$1 + AES128-GCM- \$1 SHA256 + AES128-SHA256 \$1 + AES128-SHA \$1 + AES256-GCM- \$1 SHA384 + AES256-SHA256 \$1 + AES256-SHA \$1 + SHE-DSS- -SHA AES128 + CAMELLIA128-SHA + EDH-RSA-DES- -SHA CBC3 + DES- CBC3 -SHA + ECDHE-RSA- -SHA RC4 + RC4-SHA + ECDHE-ECDSA- -SHA RC4 + DHE-DSS- -GCM- AES256 SHA384 + DHE-RSA- AES256 -GCM- SHA384 + DHE-RSA AES256 - - SHA256 + DHE-SS- AES256 - SHA256 + DHE-RSA- -SHA AES256 + DHE-DSS- AES256 -SHA + DHE-RSA- CAMELLIA256 -SHA + DHE-DSS- CAMELLIA256 -SHA + CAMELLIA256-SHA + EDH-DSS-DE-SHA CBC3 + AES128DHE-DSS-GCM- SHA256 + DHE-RSA- AES128 -GCM- SHA256 + DHE-RSA AES128 - - SHA256 + DHE-SS- AES128 - SHA256 + DHE-RSA- -SHA CAMELLIA128 + DHE-DSS- CAMELLIA128 -SHA + AH- AES128 -GCM- SHA256 + ADH- -SHA AES128 + ADH- - AES128 SHA256 + ADH- -GCM- AES256 SHA384 + ADH- -SHA AES256 + ADH- - AES256 SHA256 + ADH- -SHA CAMELLIA128 + ADH- -SHA CAMELLIA256 + ADH-DES- -SHA CBC3 + ADH-DES-CBC-SHA + ADH RC4 - - MD5 + ADH-SEED-SHA + DES-CBC-SHA + DHE-DSS-SEED-SHA + DHE-RSA-SEED-SHA + EDH-DSS-DES-CBC-SHA + EDH-RSA-DES-CBC-SHA + IDEA-CBC-SHA + RC4-MD5 + SEED-SHA + DES- - CBC3 MD5 + DES-CBC- MD5 + RC2-CBC- MD5 + PSK- -CBC-SHA AES256 + PSK-3DES-EDE-CBC-SHA + KRB5CBC3-DES- -SHA + KRB5-DA- - CBC3 MD5 + PSK- -CBC-SHA AES128 + PSK- RC4 -SHA + KRB5RC4- -SHA + KRB5-RC4-MD5 + KRB5-DES-CBC-SHA + KRB5-DES-CBC- MD5 + EXP-EDH-RSA-DES-CBC-SHA + EXP-EDH-DSS-DES-CBC-SHA + EXP-ADH-DES-CBC-SHA + EXP-DES-CBC-SHA + EXP- -CBC- RC2 MD5 + EXP- - -CBC-SHA KRB5 RC2 + EXP KRB5 - -DE-CBC-SHA + EXP- KRB5 - -CBC RC2 - MD5 + EXP- -DE-CBC- KRB5 MD5 + RC4EXP-ADH- - MD5 + EXP- - RC4 MD5 + EXP- - KRB5 -SHA RC4 + EXP- - - KRB5 RC4 MD5 \$1 Questi sono i codici inclusi nella politica di sicurezza predefinita, Policy-2016-08. ELBSecurity ## Suite di crittografia per connessioni back-end Classic Load Balancers utilizza una suite di crittografia statica per le connessioni back-end. Se il Classic Load Balancer e le istanze registrate non riescono a negoziare una connessione, includi uno dei seguenti codici. + AES256-GCM- SHA384 + AES256-SHA256 + AES256-SHA + CAMELLIA256-SHA + AES128-GCM- SHA256 + AES128-SHA256 + AES128-SHA + CAMELLIA128-SHA + RC4-SHA + DES- -SHA CBC3 + DES-CBC-SHA + DHE-DSS- -GCM- AES256 SHA384 + DHE-RSA- AES256 -GCM- SHA384 + DHE-RSA AES256 - - SHA256 + DHE-SS- AES256 - SHA256 + DHE-RSA- -SHA AES256 + DHE-DSS- AES256 -SHA + DHE-RSA- CAMELLIA256 -SHA + DHE-DSS- CAMELLIA256 -SHA + DHE-DSS- AES128 -GCM- SHA256 + DHE-RSA- AES128 -GCM- SHA256 + DHE-RSA AES128 - - SHA256 + DHE-SS- AES128 - SHA256 + DHE-RSA- -SHA AES128 + DHE-DSS- AES128 -SHA + DHE-RSA- CAMELLIA128 -SHA + DHE-DSS- CAMELLIA128 -SHA + CBC3EDH-RSA-DE-SHA + CBC3EDH-DSS-DE-SHA + EDH-RSA-DES-CBC-SHA + EDH-DSS-DES-CBC-SHA # Policy di sicurezza SSL predefinite per Classic Load Balancer Policy di sicurezza SSL predefinite Puoi scegliere una delle policy di sicurezza predefinite per i listener HTTPS/SSL. Puoi usare una delle policy `ELBSecurityPolicy-TLS` per soddisfare gli standard di conformità e sicurezza che richiedono la disabilitazione di alcune versioni del protocollo TLS. In alternativa, puoi creare una policy di sicurezza personalizzata. Per ulteriori informazioni, consulta [Aggiornamento della configurazione di negoziazione SSL](ssl-config-update.md). Le crittografie basate su RSA e DSA sono specifiche dell'algoritmo di firma utilizzato per creare il certificato SSL. Assicurati di creare un certificato SSL utilizzando l'algoritmo di firma che si basa sulle crittografie abilitate per la policy di sicurezza. Se selezioni una policy abilitata per Preferenza ordine server, il load balancer utilizza le crittografie nell'ordine in cui sono specificate qui per negoziare le connessioni tra il client e il load balancer. In caso contrario, il load balancer usa le crittografie nell'ordine in cui sono presentate dal client. Le sezioni seguenti descrivono le politiche di sicurezza predefinite più recenti per Classic Load Balancer, inclusi i protocolli SSL e i codici SSL abilitati. È inoltre possibile descrivere le politiche predefinite utilizzando il comando. [describe-load-balancer-policies](https://docs.aws.amazon.com/cli/latest/reference/elb/describe-load-balancer-policies.html) **Suggerimento** Queste informazioni si applicano solo ai Classic Load Balancer. Per informazioni relative ad altri sistemi di bilanciamento del carico, consulta [Policy di sicurezza per l'Application Load](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/describe-ssl-policies.html) Balancer [e Policy di sicurezza per il Network Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/describe-ssl-policies.html). **Topics** + [ ## Protocolli per policy ](#tls-protocols) + [ ## Cifre per politica ](#tls-policy-ciphers) + [ ## Politiche per cifra ](#tls-cipher-policies) ## Protocolli per policy La tabella seguente descrive i protocolli TLS supportati da ciascuna politica di sicurezza. | Policy di sicurezza | TLS 1.2 | TLS 1.1 | TLS 1.0 | | --- | --- | --- | --- | | ELBSecurityPolicy-TLS-1-2-2017-01 | ![\[alt text not found\]](http://docs.aws.amazon.com/it_it/elasticloadbalancing/latest/classic/images/success_icon.svg) Sì | ![\[alt text not found\]](http://docs.aws.amazon.com/it_it/elasticloadbalancing/latest/classic/images/negative_icon.svg) No | ![\[alt text not found\]](http://docs.aws.amazon.com/it_it/elasticloadbalancing/latest/classic/images/negative_icon.svg) No | | ELBSecurityPolitica-TLS-1-1-2017-01 | ![\[alt text not found\]](http://docs.aws.amazon.com/it_it/elasticloadbalancing/latest/classic/images/success_icon.svg) Sì | ![\[alt text not found\]](http://docs.aws.amazon.com/it_it/elasticloadbalancing/latest/classic/images/success_icon.svg) Sì | ![\[alt text not found\]](http://docs.aws.amazon.com/it_it/elasticloadbalancing/latest/classic/images/negative_icon.svg) No | | ELBSecurityPolitica - 2016-08 | ![\[alt text not found\]](http://docs.aws.amazon.com/it_it/elasticloadbalancing/latest/classic/images/success_icon.svg) Sì | ![\[alt text not found\]](http://docs.aws.amazon.com/it_it/elasticloadbalancing/latest/classic/images/success_icon.svg) Sì | ![\[alt text not found\]](http://docs.aws.amazon.com/it_it/elasticloadbalancing/latest/classic/images/success_icon.svg) Sì | | ELBSecurityPolitica - 2015-05 | ![\[alt text not found\]](http://docs.aws.amazon.com/it_it/elasticloadbalancing/latest/classic/images/success_icon.svg) Sì | ![\[alt text not found\]](http://docs.aws.amazon.com/it_it/elasticloadbalancing/latest/classic/images/success_icon.svg) Sì | ![\[alt text not found\]](http://docs.aws.amazon.com/it_it/elasticloadbalancing/latest/classic/images/success_icon.svg) Sì | | ELBSecurityPolitica - 2015-03 | ![\[alt text not found\]](http://docs.aws.amazon.com/it_it/elasticloadbalancing/latest/classic/images/success_icon.svg) Sì | ![\[alt text not found\]](http://docs.aws.amazon.com/it_it/elasticloadbalancing/latest/classic/images/success_icon.svg) Sì | ![\[alt text not found\]](http://docs.aws.amazon.com/it_it/elasticloadbalancing/latest/classic/images/success_icon.svg) Sì | | ELBSecurityPolitica-2015-02 | ![\[alt text not found\]](http://docs.aws.amazon.com/it_it/elasticloadbalancing/latest/classic/images/success_icon.svg) Sì | ![\[alt text not found\]](http://docs.aws.amazon.com/it_it/elasticloadbalancing/latest/classic/images/success_icon.svg) Sì | ![\[alt text not found\]](http://docs.aws.amazon.com/it_it/elasticloadbalancing/latest/classic/images/success_icon.svg) Sì | ## Cifre per politica La tabella seguente descrive i codici supportati da ciascuna politica di sicurezza. | Policy di sicurezza | Crittografie | | --- | --- | | ELBSecurityPolicy-TLS-1-2-2017-01 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/elasticloadbalancing/latest/classic/elb-security-policy-table.html) | | ELBSecurityPolitica-TLS-1-1-2017-01 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/elasticloadbalancing/latest/classic/elb-security-policy-table.html) | | ELBSecurityPolitica - 2016-08 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/elasticloadbalancing/latest/classic/elb-security-policy-table.html) | | ELBSecurityPolitica - 2015-05 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/elasticloadbalancing/latest/classic/elb-security-policy-table.html) | | ELBSecurityPolitica - 2015-03 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/elasticloadbalancing/latest/classic/elb-security-policy-table.html) | | ELBSecurityPolitica - 2015-02 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/elasticloadbalancing/latest/classic/elb-security-policy-table.html) | ## Politiche per cifra La tabella seguente descrive le politiche di sicurezza che supportano ogni cifrario. | Nome del cifrario | Policy di sicurezza | Suite di cifratura | | --- | --- | --- | | ** ECDHE-ECDSA-AESOpenSSL** — 128-GCM- SHA256 IANA — **TLS\$1ECDHE\$1ECDSA\$1WITH\$1AES\$1128\$1GCM\$1** SHA256 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/elasticloadbalancing/latest/classic/elb-security-policy-table.html) | c02b | | ** ECDHE-RSA-AESOpenSSL** — 128-GCM- SHA256 IANA — **TLS\$1ECDHE\$1RSA\$1WITH\$1AES\$1128\$1GCM\$1** SHA256 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/elasticloadbalancing/latest/classic/elb-security-policy-table.html) | c02f | | ** ECDHE-ECDSA-AESOpenSSL** — 128- SHA256 **IANA** — TLS\$1ECDHE\$1ECDSA\$1WITH\$1AES\$1128\$1CBC\$1 SHA256 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/elasticloadbalancing/latest/classic/elb-security-policy-table.html) | c023 | | ** ECDHE-RSA-AESOpenSSL** — 128- SHA256 **IANA** — TLS\$1ECDHE\$1RSA\$1WITH\$1AES\$1128\$1CBC\$1 SHA256 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/elasticloadbalancing/latest/classic/elb-security-policy-table.html) | c-027 | | **OpenSSL** — ECDHE-ECDSA-AES 128-SHA **IANA — TLS\$1ECDHE\$1ECDSA\$1WITH\$1AES\$1128\$1CBC\$1SHA** | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/elasticloadbalancing/latest/classic/elb-security-policy-table.html) | c009 | | **OpenSSL** — ECDHE-RSA-AES 128-SHA **IANA — TLS\$1ECDHE\$1RSA\$1WITH\$1AES\$1128\$1CBC\$1SHA** | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/elasticloadbalancing/latest/classic/elb-security-policy-table.html) | c-013 | | ** ECDHE-ECDSA-AESOpenSSL** — 256-GCM- SHA384 IANA — **TLS\$1ECDHE\$1ECDSA\$1WITH\$1AES\$1256\$1GCM\$1** SHA384 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/elasticloadbalancing/latest/classic/elb-security-policy-table.html) | c02c | | ** ECDHE-RSA-AESOpenSSL** — 256-GCM- SHA384 IANA — **TLS\$1ECDHE\$1RSA\$1WITH\$1AES\$1256\$1GCM\$1** SHA384 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/elasticloadbalancing/latest/classic/elb-security-policy-table.html) | c030 | | ** ECDHE-ECDSA-AESOpenSSL** — 256- SHA384 **IANA** — TLS\$1ECDHE\$1ECDSA\$1WITH\$1AES\$1256\$1CBC\$1 SHA384 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/elasticloadbalancing/latest/classic/elb-security-policy-table.html) | c-024 | | ** ECDHE-RSA-AESOpenSSL** — 256- SHA384 **IANA** — TLS\$1ECDHE\$1RSA\$1WITH\$1AES\$1256\$1CBC\$1 SHA384 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/elasticloadbalancing/latest/classic/elb-security-policy-table.html) | c-028 | | **OpenSSL** — ECDHE-ECDSA-AES 256-SHA **IANA — TLS\$1ECDHE\$1RSA\$1WITH\$1AES\$1256\$1CBC\$1SHA** | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/elasticloadbalancing/latest/classic/elb-security-policy-table.html) | c014 | | **OpenSSL** — ECDHE-RSA-AES 256-SHA **IANA — TLS\$1ECDHE\$1ECDSA\$1WITH\$1AES\$1256\$1CBC\$1SHA** | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/elasticloadbalancing/latest/classic/elb-security-policy-table.html) | c00a | | ** AES128OpenSSL** — -GCM- SHA256 **IANA — TLS\$1RSA\$1CON\$1AES\$1128\$1GCM\$1** SHA256 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/elasticloadbalancing/latest/classic/elb-security-policy-table.html) | 9c | | ** AES128OpenSSL** — - SHA256 **IANA** — TLS\$1RSA\$1CON\$1AES\$1128\$1CBC\$1 SHA256 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/elasticloadbalancing/latest/classic/elb-security-policy-table.html) | 3c | | ** AES128OpenSSL** — -SHA IANA — **TLS\$1RSA\$1WITH\$1AES\$1128\$1CBC\$1SHA** | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/elasticloadbalancing/latest/classic/elb-security-policy-table.html) | 2f | | ** AES256OpenSSL** — -GCM- SHA384 **IANA — TLS\$1RSA\$1CON\$1AES\$1256\$1GCM\$1** SHA384 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/elasticloadbalancing/latest/classic/elb-security-policy-table.html) | 9d | | ** AES256OpenSSL** — - SHA256 **IANA** — TLS\$1RSA\$1WITH\$1AES\$1256\$1CBC\$1 SHA256 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/elasticloadbalancing/latest/classic/elb-security-policy-table.html) | 3d | | ** AES256OpenSSL** — -SHA IANA — **TLS\$1RSA\$1WITH\$1AES\$1256\$1CBC\$1SHA** | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/elasticloadbalancing/latest/classic/elb-security-policy-table.html) | 35 | | **OpenSSL** — DHE-RSA-AES 128-SHA **IANA — TLS\$1DHE\$1RSA\$1WITH\$1AES\$1128\$1CBC\$1SHA** | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/elasticloadbalancing/latest/classic/elb-security-policy-table.html) | 33 | | **OpenSSL** — DHE-DSS-AES 128-SHA **IANA — TLS\$1DHE\$1DSS\$1WITH\$1AES\$1128\$1CBC\$1SHA** | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/elasticloadbalancing/latest/classic/elb-security-policy-table.html) | 32 | | **OpenSSL** — DES- -SHA CBC3 **IANA — TLS\$1RSA\$1WITH\$13DES\$1EDE\$1CBC\$1SHA** | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/elasticloadbalancing/latest/classic/elb-security-policy-table.html) | 0a | # Creazione di un Classic Load Balancer con un listener HTTPS Creazione un load balancer HTTPS Un load balancer accetta richieste dal client e le distribuisce tra le istanze EC2 che sono registrate con load balancer. Puoi creare un load balancer che rimane in ascolto su entrambe le porte HTTP (80) e HTTPS (443). Se specifichi che il listener HTTPS invia le richieste alle istanze sulla porta 80, il load balancer termina le richieste e la comunicazione dal load balancer alle istanze non è crittografata. Se il listener HTTPS invia le richieste alle istanze sulla porta 443, la comunicazione dal load balancer alle istanze è crittografata. Se il load balancer utilizza una connessione crittografata per comunicare con le istanze, puoi anche opzionalmente abilitare l'autenticazione delle istanze. Questo garantisce che il load balancer comunica con un'istanza solo se la sua chiave pubblica corrisponde alla chiave specificata per il load balancer per questo scopo. Per ulteriori informazioni sull'aggiunta di un listener HTTPS a un load balancer esistente, consulta [Configurazione di un listener HTTPS per Classic Load Balancer](elb-add-or-delete-listeners.md). **Topics** + [ ## Prerequisiti ](#elb-https-ssl-prerequisites) + [ ## Crea un sistema di bilanciamento del carico HTTPS utilizzando la console ](#create-https-lb-console) + [ ## Crea un sistema di bilanciamento del carico HTTPS utilizzando il AWS CLI ](#create-https-lb-clt) ## Prerequisiti Prima di iniziare, assicurati che i seguenti prerequisiti siano soddisfatti: + Completa le fasi descritte in [Consigli per il tuo VPC](elb-backend-instances.md#set-up-ec2). + Avvia le istanze EC2 che prevedi di registrare con il load balancer. I gruppi di sicurezza per queste istanze devono consentire il traffico dal load balancer. + Le istanze EC2 devono rispondere alla destinazione del controllo dello stato con un codice di stato HTTP 200. Per ulteriori informazioni, consulta [Controlli dello stato delle istanze del tuo Classic Load Balancer](elb-healthchecks.md). + Se prevedi di abilitare l'opzione keep-alive sulle istanze EC2, ti consigliamo di impostare le impostazioni keep-alive almeno sulle impostazioni del timeout di inattività del load balancer. Se desideri garantire che il load balancer sia responsabile della chiusura delle connessioni all'istanza, assicurati che il valore impostato sull'istanza per il tempo di keep-alive sia superiore all'impostazione del timeout di inattività sul load balancer. Per ulteriori informazioni, consulta [Configura il timeout per connessione inattiva per il Classic Load Balancer](config-idle-timeout.md). + Se si crea un listener sicuro, occorre distribuire un certificato server SSL sul load balancer. Il load balancer utilizza il certificato per terminare e quindi decrittografare le richieste prima di inviarle alle istanze. Se un certificato SSL non è disponibile, puoi crearne uno. Per ulteriori informazioni, consulta [Certificati SSL/TLS per Classic Load Balancer](ssl-server-cert.md). ## Crea un sistema di bilanciamento del carico HTTPS utilizzando la console In questo esempio, vengono configurati due listener per il load balancer. Il primo listener accetta richieste HTTP sulla porta 80 e le invia alle istanze sulla porta 80 mediante HTTP. Il secondo listener accetta richieste HTTPS sulla porta 443 e le invia alle istanze utilizzando HTTP sulla porta 80 (o utilizzando HTTPS sulla porta 443 se desideri configurare per configurare l'autenticazione dell'istanza di back-end). Si definisce *listener* il processo che verifica la presenza di richieste di connessione. È configurato con un protocollo e una porta sia per connessioni front-end (dal client al load balancer) sia per connessioni back-end (dal load balancer all'istanza). Per informazioni sulle configurazioni di porte, protocolli e listener supportati da Elastic Load Balancing, consulta [Listener per il Classic Load Balancer](elb-listener-config.md). **Per creare il tuo Classic Load Balancer sicuro utilizzando la console** 1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/). 1. Sulla barra di navigazione, seleziona una regione per il bilanciamento del carico. Assicurati di scegliere la stessa regione selezionata per le istanze EC2. 1. Nel pannello di navigazione, sotto **Load Balancing** (Bilanciamento del carico), scegli **Load Balancers** (Load balancer). 1. Seleziona **Create Load Balancer** (Crea load balancer). 1. Espandi la sezione **Classic Load Balancer**, quindi scegli **Crea**. 1. **Configurazione di base** 1. In **Nome del sistema di bilanciamento del carico**, immetti un nome per il sistema di bilanciamento del carico. Il nome del Classic Load Balancer deve essere univoco nel set di Classic Load Balancer della regione, può essere composto da un massimo di 32 caratteri, può contenere solo caratteri alfanumerici e trattini e non deve iniziare o finire con un trattino. 1. In **Schema**, seleziona **Con connessione Internet**. 1. **Mappatura della rete** 1. In **VPC**, scegli lo stesso VPC selezionato per le istanze. 1. In **Mappature**, seleziona innanzitutto una zona di disponibilità, quindi scegli una sottorete pubblica tra quelle disponibili. Puoi selezionare solo una sottorete per ogni zona di disponibilità. Per migliorare la disponibilità del sistema di bilanciamento del carico, seleziona più zone di disponibilità e sottoreti. 1. **Gruppi di sicurezza** 1. In **Gruppi di sicurezza**, seleziona un gruppo di sicurezza esistente configurato per consentire il traffico HTTP richiesto sulla porta 80 e il traffico HTTPS sulla porta 443. Se non è presente, puoi creare un nuovo gruppo di sicurezza con le regole necessarie. 1. **Ascoltatori e instradamento** 1. Lascia l'ascoltatore predefinito con le impostazioni di default e seleziona **Aggiungi listener**. 1. In **Listener** sul nuovo ascoltatore, seleziona `HTTPS` come protocollo e la porta verrà aggiornata a `443`. Per impostazione predefinita, **Istanza** utilizza il protocollo `HTTP` sulla porta `80`. 1. Se è necessaria l'autenticazione back-end, modifica il protocollo dell'**istanza** su `HTTPS`. In questo modo, anche la porta dell'**istanza** viene aggiornata in `443`. 1. **Impostazioni listener sicuro** Quando si utilizza HTTPS o SSL per il listener front-end, occorre distribuire un certificato SSL sul load balancer. Il load balancer utilizza il certificato per terminare la connessione e decrittografare le richieste provenienti dai client prima di inviarle alle istanze. Inoltre, occorre specificare una policy di sicurezza. Elastic Load Balancing fornisce policy di sicurezza che dispongono di configurazioni di negoziazione SSL predefinite oppure puoi creare la tua policy di sicurezza personalizzata. Se è stata HTTPS/SSL configurata la connessione back-end, è possibile abilitare l'autenticazione delle istanze. 1. Per quanto riguarda **la politica di sicurezza**, ti consigliamo di utilizzare sempre la politica di sicurezza predefinita più recente o di creare una politica personalizzata. Consulta [Aggiornamento della configurazione di negoziazione SSL](ssl-config-update.md#ssl-config-update-console). 1. Per il ** SSL/TLS certificato predefinito**, sono disponibili le seguenti opzioni: + Se hai creato o importato un certificato utilizzando AWS Certificate Manager, seleziona **Da ACM**, quindi seleziona il certificato da **Seleziona un certificato**. + Se hai importato un certificato mediante IAM, scegli **Da ACM**, quindi seleziona il certificato da **Seleziona un certificato**. + Se disponi di un certificato da importare ma ACM non è disponibile nella tua regione, seleziona **Importa**, quindi **In IAM**. Digita il nome del certificato nel campo **Nome del certificato**. In **Chiave privata del certificato**, copia e incolla il contenuto del file della chiave privata (con codifica PEM). In **Corpo certificato**, copia e incolla i contenuti del file della chiave pubblica (con codifica PEM). In **Catena di certificati**, copia e incolla i contenuti del file della catena di certificati (con codifica PEM), a meno che non utilizzi un certificato auto-firmato e non sia importante che i browser accettino implicitamente il certificato. 1. (Facoltativo) Se hai configurato l'ascoltatore HTTPS per comunicare con le istanze tramite una connessione crittografata, puoi impostare l'autenticazione delle istanze in **Certificato di autenticazione di back-end**. **Nota** Se non vedi la sezione **Certificato di autenticazione di back-end**, torna a **Listener e routing** e seleziona `HTTPS` come protocollo per **Istanza**. 1. Per **Certificate name (Nome certificato)**, digita il nome del certificato a chiave pubblica. 1. In **Corpo del certificato (con codifica PEM)**, copia e incolla il contenuto del certificato. Il load balancer comunica con un'istanza solo se la sua chiave pubblica corrisponde a questa chiave. 1. Per aggiungere un altro certificato, scegli **Aggiungi nuovo certificato di back-end**. Il limite è cinque. 1. **Controlli dell'integrità** 1. Nella sezione **Ping della destinazione**, seleziona un **Protocollo Ping** e una **Porta Ping**. Le istanze EC2 devono accettare il traffico sulla porta ping specificata. 1. In **Porta Ping**, assicurati che la porta sia `80`. 1. In **Percorso ping**, sostituisci il valore predefinito con una barra singola (`/`). In questo modo Elastic Load Balancing invierà le richieste di controllo dell'integrità alla home page predefinita del server web, ad esempio `index.html`. 1. In **Impostazioni avanzate del controllo dell'integrità**, utilizza i valori predefiniti. 1. **Istanze** 1. Seleziona **Aggiungi istanze** per visualizzare la schermata di selezione delle istanze. 1. In **Istanze disponibili** puoi selezionare le istanze attualmente disponibili per il sistema di bilanciamento del carico, in base alle impostazioni di rete selezionate in precedenza. 1. Dopo aver effettuato le selezioni, scegli **Conferma** per aggiungere le istanze da registrare al sistema di bilanciamento del carico. 1. **Attributes** 1. Mantieni i valori predefiniti per **Abilita il sistema di bilanciamento del carico tra zone**, **Abilita svuotamento della connessione** e **Timeout (intervallo di svuotamento)**. 1. **Tag del sistema di bilanciamento del carico (facoltativo)** 1. Il campo **Chiave** è obbligatorio. 1. Il campo **Valore** è facoltativo. 1. Per aggiungere un altro tag, seleziona **Aggiungi nuovo tag**, quindi inserisci i valori nel campo **Chiave** e facoltativamente nel campo **Valore**. 1. Per rimuovere un tag esistente, seleziona **Rimuovi** accanto al tag da rimuovere. 1. **Riepilogo e creazione** 1. Se hai bisogno di modificare le impostazioni, seleziona **Modifica** accanto all'impostazione da cambiare. 1. Dopo aver verificato le impostazioni mostrate nel riepilogo, seleziona **Crea sistema di bilanciamento del carico** per iniziare a creare il sistema di bilanciamento del carico. 1. Nella pagina di creazione finale, seleziona **Visualizza i sistemi di bilanciamento del carico** per visualizzare il sistema di bilanciamento del carico nella console Amazon EC2. 1. **Verify** 1. Seleziona il nuovo load balancer. 1. Nella scheda **Istanze di destinazione**, verifica la colonna **Stato di integrità**. Dopo che almeno una delle istanze EC2 è **In servizio**, puoi testare il sistema di bilanciamento del carico. 1. Nella sezione **Dettagli**, copia il **nome DNS** del sistema di bilanciamento del carico, che sarebbe simile a `my-load-balancer-1234567890.us-east-1.elb.amazonaws.com`. 1. Incolla il **nome DNS** del sistema di bilanciamento del carico nel campo dell'indirizzo di un browser Web connesso alla rete Internet pubblica. Se il sistema di bilanciamento del carico funziona correttamente, verrà visualizzata la pagina predefinita del server. 1. **Rimozione (facoltativa)** 1. Se si dispone di un record CNAME nel dominio che punta al load balancer, puntare a una nuova posizione e attendere che il cambio di DNS abbia effetto prima di eliminare il load balancer. 1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/). 1. Selezionare il load balancer. 1. Seleziona **Operazioni**, **Elimina sistema di bilanciamento del carico**. 1. Quando viene richiesta la conferma, digita `confirm`, quindi scegli **Elimina**. 1. Dopo aver eliminato un sistema di bilanciamento del carico, le istanze EC2 registrate con esso continuano a funzionare. Verranno addebitate le spese per ogni ora parziale o intera in cui continuano a funzionare. Quando un'istanza EC2 non è più necessaria, puoi interromperla o terminarla per evitare di sostenere costi aggiuntivi. ## Crea un sistema di bilanciamento del carico HTTPS utilizzando il AWS CLI Utilizza le seguenti istruzioni per creare un sistema di HTTPS/SSL bilanciamento del carico utilizzando. AWS CLI **Topics** + [ ### Fase 1: configurare i listener ](#configuring_listener_clt) + [ ### Fase 2: configurare la policy di sicurezza SSL ](#configure_ciphers_clt) + [ ### Fase 3: configurare l'autenticazione dell'istanza di back-end (facoltativo) ](#configure_backendauth_clt) + [ ### Fase 4: configurare i controlli dell'integrità (facoltativo) ](#configure_healthcheck_clt) + [ ### Fase 5: registrare istanze EC2 ](#add_ec2instances_clt) + [ ### Fase 6: verificare le istanze ](#verify-ec2instances-clt) + [ ### Fase 7: eliminare il load balancer (facoltativo) ](#us-tearing-lb-cli) ### Fase 1: configurare i listener Si definisce *listener* il processo che verifica la presenza di richieste di connessione. È configurato con un protocollo e una porta per connessioni front-end (dal client al load balancer) e connessioni back-end (dal load balancer all'istanza). Per informazioni sulle configurazioni di porte, protocolli e listener supportati da Elastic Load Balancing, consulta [Listener per il Classic Load Balancer](elb-listener-config.md). In questo esempio, puoi configurare due listener per il load balancer specificando le porte e i protocolli da usare per le connessioni front-end e back-end. Il primo listener accetta richieste HTTP sulla porta 80 e le invia alle istanze sulla porta 80 utilizzando HTTP. Il secondo listener accetta richieste HTTPS sulla porta 443 e le invia alle istanze utilizzando HTTP sulla porta 80. Poiché il secondo listener utilizza HTTPS per la connessione front-end, occorre distribuire un certificato server SSL sul load balancer. Il load balancer utilizza il certificato per terminare e quindi decrittografare le richieste prima di inviarle alle istanze. **Per configurare i listener per il load balancer** 1. Ottenere l'Amazon Resource Name (ARN) del certificato SSL. Ad esempio: **ACM** ``` arn:aws:acm:region:123456789012:certificate/12345678-1234-1234-1234-123456789012 ``` **IAM** ``` arn:aws:iam::123456789012:server-certificate/my-server-certificate ``` 1. Utilizzate il seguente [create-load-balancer](https://docs.aws.amazon.com/cli/latest/reference/elb/create-load-balancer.html)comando per configurare il load balancer con i due listener: ``` aws elb create-load-balancer --load-balancer-name my-load-balancer --listeners "Protocol=http,LoadBalancerPort=80,InstanceProtocol=http,InstancePort=80" "Protocol=https,LoadBalancerPort=443,InstanceProtocol=http,InstancePort=80,SSLCertificateId="ARN" --availability-zones us-west-2a ``` Di seguito è riportata una risposta di esempio: ``` { "DNSName": "my-loadbalancer-012345678.us-west-2.elb.amazonaws.com" } ``` 1. (Facoltativo) Utilizzate il seguente [describe-load-balancers](https://docs.aws.amazon.com/cli/latest/reference/elb/describe-load-balancers.html)comando per visualizzare i dettagli del sistema di bilanciamento del carico: ``` aws elb describe-load-balancers --load-balancer-name my-load-balancer ``` ### Fase 2: configurare la policy di sicurezza SSL Puoi selezionare una delle policy di sicurezza predefinite oppure creare la tua policy di sicurezza personalizzata. In caso contrario, Elastic Load Balancing configura il load balancer con la policy di sicurezza predefinita `ELBSecurityPolicy-2016-08`. Per ulteriori informazioni, consulta [Configurazioni della negoziazione SSL per Classic Load Balancer](elb-ssl-security-policy.md). **Per verificare che il load balancer sia associato alla policy di sicurezza di default** Utilizzando il seguente comando [describe-load-balancers](https://docs.aws.amazon.com/cli/latest/reference/elb/describe-load-balancers.html): ``` aws elb describe-load-balancers --load-balancer-name my-loadbalancer ``` Di seguito è riportata una risposta di esempio. Ricorda che `ELBSecurityPolicy-2016-08` è associato a load balancer sulla porta 443. ``` { "LoadBalancerDescriptions": [ { ... "ListenerDescriptions": [ { "Listener": { "InstancePort": 80, "SSLCertificateId": "ARN", "LoadBalancerPort": 443, "Protocol": "HTTPS", "InstanceProtocol": "HTTP" }, "PolicyNames": [ "ELBSecurityPolicy-2016-08" ] }, { "Listener": { "InstancePort": 80, "LoadBalancerPort": 80, "Protocol": "HTTP", "InstanceProtocol": "HTTP" }, "PolicyNames": [] } ], ... } ] } ``` Se preferisci, puoi configurare la policy di sicurezza SSL per il load balancer anziché utilizzare la policy di sicurezza di default. **(Facoltativo) Per usare una policy di sicurezza SSL predefinita** 1. Utilizzate il [describe-load-balancer-policies](https://docs.aws.amazon.com/cli/latest/reference/elb/describe-load-balancer-policies.html)comando seguente per elencare i nomi delle politiche di sicurezza predefinite: ``` aws elb describe-load-balancer-policies ``` Per informazioni sula configurazione delle policy di sicurezza predefinite, consulta [Policy di sicurezza SSL predefinite per Classic Load Balancer](elb-security-policy-table.md). 1. Utilizzate il [create-load-balancer-policy](https://docs.aws.amazon.com/cli/latest/reference/elb/create-load-balancer-policy.html)comando seguente per creare una politica di negoziazione SSL utilizzando una delle politiche di sicurezza predefinite descritte nel passaggio precedente: ``` aws elb create-load-balancer-policy --load-balancer-name my-loadbalancer --policy-name my-SSLNegotiation-policy --policy-type-name SSLNegotiationPolicyType --policy-attributes AttributeName=Reference-Security-Policy,AttributeValue=predefined-policy ``` 1. (Facoltativo) Utilizzate il seguente [describe-load-balancer-policies](https://docs.aws.amazon.com/cli/latest/reference/elb/describe-load-balancer-policies.html)comando per verificare che la politica sia stata creata: ``` aws elb describe-load-balancer-policies --load-balancer-name my-loadbalancer --policy-name my-SSLNegotiation-policy ``` La risposta include la descrizione della policy. 1. Utilizzate il seguente comando [set-load-balancer-policies-of-listener](https://docs.aws.amazon.com/cli/latest/reference/elb/set-load-balancer-policies-of-listener.html) per abilitare la policy sulla porta 443 di load balancer: ``` aws elb set-load-balancer-policies-of-listener --load-balancer-name my-loadbalancer --load-balancer-port 443 --policy-names my-SSLNegotiation-policy ``` **Nota** Il comando `set-load-balancer-policies-of-listener` sostituisce l'insieme di policy corrente per la porta del load balancer con l'insieme di policy specificato. L'elenco `--policy-names` deve includere tutte le policy da abilitare. Se si omette una policy attualmente abilitata, questa viene disabilitata. 1. (Facoltativo) Utilizzate il seguente [describe-load-balancers](https://docs.aws.amazon.com/cli/latest/reference/elb/describe-load-balancers.html)comando per verificare che la policy sia abilitata: ``` aws elb describe-load-balancers --load-balancer-name my-loadbalancer ``` Di seguito è riportato un esempio di risposta che mostra che la policy è abilitata sulla porta 443. ``` { "LoadBalancerDescriptions": [ { .... "ListenerDescriptions": [ { "Listener": { "InstancePort": 80, "SSLCertificateId": "ARN", "LoadBalancerPort": 443, "Protocol": "HTTPS", "InstanceProtocol": "HTTP" }, "PolicyNames": [ "my-SSLNegotiation-policy" ] }, { "Listener": { "InstancePort": 80, "LoadBalancerPort": 80, "Protocol": "HTTP", "InstanceProtocol": "HTTP" }, "PolicyNames": [] } ], ... } ] } ``` Quando si crea una policy di sicurezza personalizzata, occorre abilitare almeno un protocollo e una crittografia. Le crittografie DSA e RSA sono specifiche dell'algoritmo di firma e sono utilizzate per creare il certificato SSL. Se disponi già di un certificato SSL, assicurati di abilitare la crittografia che è stata utilizzata per creare il certificato. Il nome della policy personalizzata non deve iniziare con `ELBSecurityPolicy-` o `ELBSample-`, poiché questi prefissi sono prenotati per i nomi delle policy di sicurezza predefinite. **(Facoltativo) Per usare una policy di sicurezza SSL personalizzata** 1. Utilizzate il [create-load-balancer-policy](https://docs.aws.amazon.com/cli/latest/reference/elb/create-load-balancer-policy.html)comando per creare una politica di negoziazione SSL utilizzando una politica di sicurezza personalizzata. Esempio: ``` aws elb create-load-balancer-policy --load-balancer-name my-loadbalancer --policy-name my-SSLNegotiation-policy --policy-type-name SSLNegotiationPolicyType --policy-attributes AttributeName=Protocol-TLSv1.2,AttributeValue=true AttributeName=Protocol-TLSv1.1,AttributeValue=true AttributeName=DHE-RSA-AES256-SHA256,AttributeValue=true AttributeName=Server-Defined-Cipher-Order,AttributeValue=true ``` 1. (Facoltativo) Utilizzate il seguente [describe-load-balancer-policies](https://docs.aws.amazon.com/cli/latest/reference/elb/describe-load-balancer-policies.html)comando per verificare che la politica sia stata creata: ``` aws elb describe-load-balancer-policies --load-balancer-name my-loadbalancer --policy-name my-SSLNegotiation-policy ``` La risposta include la descrizione della policy. 1. Utilizzate il seguente comando [set-load-balancer-policies-of-listener](https://docs.aws.amazon.com/cli/latest/reference/elb/set-load-balancer-policies-of-listener.html) per abilitare la policy sulla porta 443 di load balancer: ``` aws elb set-load-balancer-policies-of-listener --load-balancer-name my-loadbalancer --load-balancer-port 443 --policy-names my-SSLNegotiation-policy ``` **Nota** Il comando `set-load-balancer-policies-of-listener` sostituisce l'insieme di policy corrente per la porta del load balancer con l'insieme di policy specificato. L'elenco `--policy-names` deve includere tutte le policy da abilitare. Se si omette una policy attualmente abilitata, questa viene disabilitata. 1. (Facoltativo) Utilizzate il seguente [describe-load-balancers](https://docs.aws.amazon.com/cli/latest/reference/elb/describe-load-balancers.html)comando per verificare che la policy sia abilitata: ``` aws elb describe-load-balancers --load-balancer-name my-loadbalancer ``` Di seguito è riportato un esempio di risposta che mostra che la policy è abilitata sulla porta 443. ``` { "LoadBalancerDescriptions": [ { .... "ListenerDescriptions": [ { "Listener": { "InstancePort": 80, "SSLCertificateId": "ARN", "LoadBalancerPort": 443, "Protocol": "HTTPS", "InstanceProtocol": "HTTP" }, "PolicyNames": [ "my-SSLNegotiation-policy" ] }, { "Listener": { "InstancePort": 80, "LoadBalancerPort": 80, "Protocol": "HTTP", "InstanceProtocol": "HTTP" }, "PolicyNames": [] } ], ... } ] } ``` ### Fase 3: configurare l'autenticazione dell'istanza di back-end (facoltativo) Se HTTPS/SSL configuri la connessione back-end, puoi facoltativamente configurare l'autenticazione delle tue istanze. Durante l'autenticazione dell'istanza di back-end crei una policy per la chiave pubblica. Quindi, utilizza questa policy per la chiave pubblica per creare una policy per l'autenticazione dell'istanza di back-end. Infine, imposta la policy per l'autenticazione dell'istanza di back-end con la porta dell'istanza per il protocollo HTTPS. Il load balancer comunica con un'istanza solo se la chiave pubblica presentata dall'istanza al load balancer corrisponde a una chiave pubblica nella policy di autenticazione per il load balancer. **Per configurare l'autenticazione dell'istanza di back-end** 1. Utilizzare il comando seguente per recuperare la chiave pubblica: ``` openssl x509 -in your X509 certificate PublicKey -pubkey -noout ``` 1. Usa il seguente [create-load-balancer-policy](https://docs.aws.amazon.com/cli/latest/reference/elb/create-load-balancer-policy.html)comando per creare una politica a chiave pubblica: ``` aws elb create-load-balancer-policy --load-balancer-name my-loadbalancer --policy-name my-PublicKey-policy \ --policy-type-name PublicKeyPolicyType --policy-attributes AttributeName=PublicKey,AttributeValue=MIICiTCCAfICCQD6m7oRw0uXOjANBgkqhkiG9w 0BAQUFADCBiDELMAkGA1UEBhMCVVMxCzAJBgNVBAgTAldBMRAwDgYDVQQHEwdTZ WF0dGxlMQ8wDQYDVQQKEwZBbWF6b24xFDASBgNVBAsTC0lBTSBDb25zb2xlMRIw EAYDVQQDEwlUZXN0Q2lsYWMxHzAdBgkqhkiG9w0BCQEWEG5vb25lQGFtYXpvbi5 jb20wHhcNMTEwNDI1MjA0NTIxWhcNMTIwNDI0MjA0NTIxWjCBiDELMAkGA1UEBh MCVVMxCzAJBgNVBAgTAldBMRAwDgYDVQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBb WF6b24xFDASBgNVBAsTC0lBTSBDb25zb2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMx HzAdBgkqhkiG9w0BCQEWEG5vb25lQGFtYXpvbi5jb20wgZ8wDQYJKoZIhvcNAQE BBQADgY0AMIGJAoGBAMaK0dn+a4GmWIWJ21uUSfwfEvySWtC2XADZ4nB+BLYgVI k60CpiwsZ3G93vUEIO3IyNoH/f0wYK8m9TrDHudUZg3qX4waLG5M43q7Wgc/MbQ ITxOUSQv7c7ugFFDzQGBzZswY6786m86gpEIbb3OhjZnzcvQAaRHhdlQWIMm2nr AgMBAAEwDQYJKoZIhvcNAQEFBQADgYEAtCu4nUhVVxYUntneD9+h8Mg9q6q+auN KyExzyLwaxlAoo7TJHidbtS4J5iNmZgXL0FkbFFBjvSfpJIlJ00zbhNYS5f6Guo EDmFJl0ZxBHjJnyp378OD8uTs7fLvjx79LjSTbNYiytVbZPQUQ5Yaxu2jXnimvw 3rrszlaEXAMPLE= ``` **Nota** Per specificare un valore della chiave pubblica per `--policy-attributes`, rimuovere la prima e l'ultima riga della chiave pubblica (la riga contenente"`-----BEGIN PUBLIC KEY-----`"e la riga contenente"`-----END PUBLIC KEY-----`"). AWS CLI Non accetta spazi bianchi in`--policy-attributes`. 1. Utilizzare il [create-load-balancer-policy](https://docs.aws.amazon.com/cli/latest/reference/elb/create-load-balancer-policy.html)comando seguente per creare una politica di autenticazione dell'istanza di back-end utilizzando. `my-PublicKey-policy` ``` aws elb create-load-balancer-policy --load-balancer-name my-loadbalancer --policy-name my-authentication-policy --policy-type-name BackendServerAuthenticationPolicyType --policy-attributes AttributeName=PublicKeyPolicyName,AttributeValue=my-PublicKey-policy ``` Opzionalmente, è possibile utilizzare più criteri della chiave pubblica. Il load balancer prova tutte le chiavi, una alla volta. Se la chiave pubblica presentata da un'istanza corrisponde a una di queste chiavi pubbliche, l'istanza viene autenticata. 1. Utilizzate il seguente for-backend-server comando [set-load-balancer-policies-](https://docs.aws.amazon.com/cli/latest/reference/elb/set-load-balancer-policies-for-backend-server.html) per impostare la `my-authentication-policy` porta dell'istanza per HTTPS. In questo esempio, la porta dell'istanza è 443. ``` aws elb set-load-balancer-policies-for-backend-server --load-balancer-name my-loadbalancer --instance-port 443 --policy-names my-authentication-policy ``` 1. (Facoltativo) Utilizzate il seguente [describe-load-balancer-policies](https://docs.aws.amazon.com/cli/latest/reference/elb/describe-load-balancer-policies.html)comando per elencare tutte le politiche per il sistema di bilanciamento del carico: ``` aws elb describe-load-balancer-policies --load-balancer-name my-loadbalancer ``` 1. (Facoltativo) Utilizzate il seguente [describe-load-balancer-policies](https://docs.aws.amazon.com/cli/latest/reference/elb/describe-load-balancer-policies.html)comando per visualizzare i dettagli della politica: ``` aws elb describe-load-balancer-policies --load-balancer-name my-loadbalancer --policy-names my-authentication-policy ``` ### Fase 4: configurare i controlli dell'integrità (facoltativo) Elastic Load Balancing controlla regolarmente l'integrità di ciascuna istanza EC2 registrata in base ai controlli dell'integrità configurati. Se Elastic Load Balancing trova un'istanza non integra, interrompe l'invio del traffico all'istanza e indirizza il traffico verso le istanze integre. Per ulteriori informazioni, consulta [Controlli dello stato delle istanze del tuo Classic Load Balancer](elb-healthchecks.md). Quando crei il load balancer, Elastic Load Balancing utilizza le impostazioni predefinite per i controlli dell'integrità. Se preferisci, puoi modificare la configurazione del controllo dello stato per il load balancer anziché utilizzare le impostazioni di default. **Per configurare i controlli dello stato per le istanze** Utilizzando il seguente comando [configure-health-check](https://docs.aws.amazon.com/cli/latest/reference/elb/configure-health-check.html): ``` aws elb configure-health-check --load-balancer-name my-loadbalancer --health-check Target=HTTP:80/ping,Interval=30,UnhealthyThreshold=2,HealthyThreshold=2,Timeout=3 ``` Di seguito è riportata una risposta di esempio: ``` { "HealthCheck": { "HealthyThreshold": 2, "Interval": 30, "Target": "HTTP:80/ping", "Timeout": 3, "UnhealthyThreshold": 2 } } ``` ### Fase 5: registrare istanze EC2 Dopo aver creato il load balancer, occorre registrare le istanze EC2 con il load balancer. Puoi selezionare istanze EC2 da una singola zona di disponibilità o più zone di disponibilità all'interno della stessa regione del load balancer. Per ulteriori informazioni, consulta [Istanze registrate per Classic Load Balancer](elb-backend-instances.md). Utilizzate il comando [register-instances-with-load-balancer](https://docs.aws.amazon.com/cli/latest/reference/elb/register-instances-with-load-balancer.html) come segue: ``` aws elb register-instances-with-load-balancer --load-balancer-name my-loadbalancer --instances i-4f8cf126 i-0bb7ca62 ``` Di seguito è riportata una risposta di esempio: ``` { "Instances": [ { "InstanceId": "i-4f8cf126" }, { "InstanceId": "i-0bb7ca62" } ] } ``` ### Fase 6: verificare le istanze Il load balancer è utilizzabile non appena una qualsiasi delle istanze registrate si trova nello stato `InService`. Per verificare lo stato delle nuove istanze EC2 registrate, usa il seguente comando: [describe-instance-health](https://docs.aws.amazon.com/cli/latest/reference/elb/describe-instance-health.html) ``` aws elb describe-instance-health --load-balancer-name my-loadbalancer --instances i-4f8cf126 i-0bb7ca62 ``` Di seguito è riportata una risposta di esempio: ``` { "InstanceStates": [ { "InstanceId": "i-4f8cf126", "ReasonCode": "N/A", "State": "InService", "Description": "N/A" }, { "InstanceId": "i-0bb7ca62", "ReasonCode": "Instance", "State": "OutOfService", "Description": "Instance registration is still in progress" } ] } ``` Se il campo `State` di un'istanza è `OutOfService`, è probabile che le istanze siano ancora in corso di registrazione. Per ulteriori informazioni, consulta [Risoluzione dei problemi di un Classic Load Balancer: registrazione dell'istanza](ts-elb-register-instance.md). Quando lo stato di almeno delle istanze è `InService`, puoi testare il load balancer. Per testare il load balancer, copia il nome DNS del load balancer e incollalo nel campo degli indirizzi di un browser web connesso a Internet. Se il load balancer è in funzione, viene visualizzata la pagina predefinita del server HTTP. ### Fase 7: eliminare il load balancer (facoltativo) L'eliminazione di un load balancer automatico annulla automaticamente la registrazione delle istanze EC2 associate. Non appena il load balancer viene eliminato, i relativi addebiti vengono bloccati. Tuttavia, le istanze EC2 continuano ad essere eseguite si continua a ricevere addebiti. Per eliminare il sistema di bilanciamento del carico, usa il seguente comando: [delete-load-balancer](https://docs.aws.amazon.com/cli/latest/reference/elb/delete-load-balancer.html) ``` aws elb delete-load-balancer --load-balancer-name my-loadbalancer ``` Per interrompere le istanze EC2, utilizza il comando [stop-instances](https://docs.aws.amazon.com/cli/latest/reference/ec2/stop-instances.html). Per terminare le istanze EC2, utilizza il comando [terminate-instances](https://docs.aws.amazon.com/cli/latest/reference/ec2/terminate-instances.html). # Configurazione di un listener HTTPS per Classic Load Balancer Configurazione di un listener HTTPS Si definisce *listener* il processo che verifica la presenza di richieste di connessione. È configurato con un protocollo e una porta sia per connessioni front-end (dal client al load balancer) sia per connessioni back-end (dal load balancer all'istanza). Per informazioni sulle configurazioni di porte, protocolli e listener supportati da Elastic Load Balancing, consulta [Listener per il Classic Load Balancer](elb-listener-config.md). Se disponi di un load balancer con un listener che accetta richieste HTTP sulla porta 80, puoi aggiungere un listener che accetta le richieste HTTPS sulla porta 443. Se specifichi che il listener HTTPS invia le richieste alle istanze sulla porta 80, il load balancer termina le richieste SSL e la comunicazione dal load balancer alle istanze non è crittografata. Se il listener HTTPS invia le richieste alle istanze sulla porta 443, la comunicazione dal load balancer alle istanze è crittografata. Se il load balancer utilizza una connessione crittografata per comunicare con le istanze, puoi opzionalmente abilitare l'autenticazione delle istanze. Questo garantisce che il load balancer comunica con un'istanza solo se la sua chiave pubblica corrisponde alla chiave specificata per il load balancer per questo scopo. Per ulteriori informazioni sulla creazione di un nuovo listener HTTPS, consulta [Creazione di un Classic Load Balancer con un listener HTTPS](elb-create-https-ssl-load-balancer.md). **Topics** + [ ## Prerequisiti ](#add-listener-prerequisites) + [ ## Aggiunta di un listener HTTPS mediante la console ](#add-listener-console) + [ ## Aggiungi un listener HTTPS utilizzando il AWS CLI ](#add-listener-cli) ## Prerequisiti Per abilitare il supporto HTTPS per un listener HTTPS, occorre distribuire un certificato del server SSL sul load balancer. Il load balancer utilizza il certificato per terminare e quindi decrittografare le richieste prima di inviarle alle istanze. Se un certificato SSL non è disponibile, puoi crearne uno. Per ulteriori informazioni, consulta [Certificati SSL/TLS per Classic Load Balancer](ssl-server-cert.md). ## Aggiunta di un listener HTTPS mediante la console Puoi aggiungere un listener HTTPS a un load balancer esistente. **Per aggiungere un listener HTTPS al sistema di bilanciamento del carico utilizzando la console** 1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/). 1. Nel pannello di navigazione, sotto **Bilanciamento del carico**, scegli **Sistemi di bilanciamento del carico**. 1. Scegli il nome del sistema di bilanciamento del carico per aprirne la pagina dei dettagli. 1. Nella scheda **Listener**, scegli **Gestisci ascoltatori**. 1. Nella scheda **Gestisci ascoltatori**, all'interno della sezione **Listener**, scegli **Aggiungi listener**. 1. In **Protocollo del listener**, scegli **HTTPS**. **Importante** Per impostazione predefinita, il **protocollo dell'istanza** è HTTP. Se desideri configurare l'autenticazione dell'istanza di back-end, modifica il **protocollo dell'istanza** in HTTPS. 1. Per la **politica di sicurezza**, si consiglia di utilizzare la politica di sicurezza predefinita più recente. Se è necessario utilizzare una policy di sicurezza predefinita differente o creare una policy personalizzata, consulta la sezione relativa all'[aggiornamento della configurazione di negoziazione SSL](ssl-config-update.md#ssl-config-update-console). 1. Per **Certificato SSL predefinito**, scegli **Modifica**, quindi esegui una delle operazioni seguenti: + Se hai creato o importato un certificato utilizzando AWS Certificate Manager, scegli **Da ACM**, seleziona il certificato dall'elenco, quindi scegli **Salva** modifiche. **Nota** Questa opzione è disponibile solo nelle regioni che supportano AWS Certificate Manager. + Se hai importato un certificato mediante IAM, scegli **Da IAM**, seleziona il certificato dall'elenco, quindi scegli **Salva modifiche**. + Se disponi di un certificato SSL da importare in ACM, seleziona **Importa** e **Per ACM**. In **Chiave privata del certificato**, copia e incolla il contenuto del file della chiave privata con codifica PEM. In **Corpo certificato**, copia e incolla il contenuto del file del certificato della chiave pubblica con codifica PEM. In **Catena di certificati - facoltativo**, copia e incolla il contenuto del file della catena di certificati con codifica PEM, a meno che non utilizzi un certificato auto-firmato e non sia importante che i browser accettino implicitamente il certificato. + Se disponi di un certificato SSL da importare, ma ACM non è supportato in questa regione, seleziona **Importa** e **Per IAM**. In **Nome del certificato**, digita il nome del certificato. In **Chiave privata del certificato**, copia e incolla il contenuto del file della chiave privata con codifica PEM. In **Corpo certificato**, copia e incolla il contenuto del file del certificato della chiave pubblica con codifica PEM. In **Catena di certificati - facoltativo**, copia e incolla il contenuto del file della catena di certificati con codifica PEM, a meno che non utilizzi un certificato auto-firmato e non sia importante che i browser accettino implicitamente il certificato. + Scegli **Save changes** (Salva modifiche). 1. Per **Viscosità dei cookie**, l'impostazione predefinita è **Disabilitato**. Per cambiarlo, scegli **Modifica**. Se scegli l'opzione **Generato dal sistema di bilanciamento del carico**, devi specificare un **Periodo di scadenza**. Se scegli l'opzione **Generato dall'applicazione**, devi specificare un **Nome cookie**. Dopo aver effettuato la selezione, scegli **Salva modifiche**. 1. (Facoltativo) Scegli **Aggiungi listener** per aggiungere ulteriori ascoltatori. 1. Scegli **Salva modifiche** per aggiungere gli ascoltatori appena configurati. 1. (Facoltativo) Per configurare l'autenticazione dell'istanza di back-end per un sistema di bilanciamento del carico esistente, è necessario utilizzare l'API AWS CLI o un'API, poiché questa attività non è supportata dalla console. Per ulteriori informazioni, consulta [Configurazione dell'autenticazione dell'istanza di back-end](elb-create-https-ssl-load-balancer.md#configure_backendauth_clt). ## Aggiungi un listener HTTPS utilizzando il AWS CLI Puoi aggiungere un listener HTTPS a un load balancer esistente. **Per aggiungere un listener HTTPS al sistema di bilanciamento del carico utilizzando il AWS CLI** 1. Ottenere l'Amazon Resource Name (ARN) del certificato SSL. Ad esempio: **ACM** ``` arn:aws:acm:region:123456789012:certificate/12345678-1234-1234-1234-123456789012 ``` **IAM** ``` arn:aws:iam::123456789012:server-certificate/my-server-certificate ``` 1. Utilizzate il seguente [create-load-balancer-listeners](https://docs.aws.amazon.com/cli/latest/reference/elb/create-load-balancer-listeners.html)comando per aggiungere un listener al sistema di bilanciamento del carico che accetti le richieste HTTPS sulla porta 443 e invii le richieste alle istanze sulla porta 80 tramite HTTP: ``` aws elb create-load-balancer-listeners --load-balancer-name my-load-balancer --listeners Protocol=HTTPS,LoadBalancerPort=443,InstanceProtocol=HTTP,InstancePort=80,SSLCertificateId=ARN ``` Se si desidera configurare l'autenticazione dell'istanza di back-end, utilizzare il comando seguente per aggiungere un listener che accetta le richieste HTTPS sulla porta 443 e le invia alle istanze sulla porta 443 mediante HTTPS: ``` aws elb create-load-balancer-listeners --load-balancer-name my-load-balancer --listeners Protocol=HTTPS,LoadBalancerPort=443,InstanceProtocol=HTTPS,InstancePort=443,SSLCertificateId=ARN ``` 1. (Facoltativo) È possibile utilizzare il seguente [describe-load-balancers](https://docs.aws.amazon.com/cli/latest/reference/elb/describe-load-balancers.html)comando per visualizzare i dettagli aggiornati del sistema di bilanciamento del carico: ``` aws elb describe-load-balancers --load-balancer-name my-load-balancer ``` Di seguito è riportata una risposta di esempio: ``` { "LoadBalancerDescriptions": [ { ... "ListenerDescriptions": [ { "Listener": { "InstancePort": 80, "SSLCertificateId": "ARN", "LoadBalancerPort": 443, "Protocol": "HTTPS", "InstanceProtocol": "HTTP" }, "PolicyNames": [ "ELBSecurityPolicy-2016-08" ] }, { "Listener": { "InstancePort": 80, "LoadBalancerPort": 80, "Protocol": "HTTP", "InstanceProtocol": "HTTP" }, "PolicyNames": [] } ], ... } ] } ``` 1. (Facoltativo) Il listener HTTPS è stato creato utilizzando la policy di sicurezza di default. Se desideri specificare una politica di sicurezza predefinita diversa o una politica di sicurezza personalizzata, usa i comandi [create-load-balancer-policy](https://docs.aws.amazon.com/cli/latest/reference/elb/create-load-balancer-policy.html)e [set-load-balancer-policies-of-listener](https://docs.aws.amazon.com/cli/latest/reference/elb/set-load-balancer-policies-of-listener.html). Per ulteriori informazioni, consulta [Aggiorna la configurazione di negoziazione SSL utilizzando il AWS CLI](ssl-config-update.md#ssl-config-update-cli). 1. [(Facoltativo) Per configurare l'autenticazione dell'istanza di back-end, utilizzate il comando -. set-load-balancer-policies for-backend-server](https://docs.aws.amazon.com/cli/latest/reference/elb/set-load-balancer-policies-for-backend-server.html) Per ulteriori informazioni, consulta [Configurazione dell'autenticazione dell'istanza di back-end](elb-create-https-ssl-load-balancer.md#configure_backendauth_clt). # Sostituzione del certificato SSL per Classic Load Balancer Sostituzione del certificato SSL Se disponi di un listener HTTPS, al momento della sua creazione hai distribuito un certificato SSL sul load balancer. Ogni certificato include un periodo di validità. Devi assicurarti di rinnovare o sostituire il certificato prima della fine del suo periodo di validità. I certificati forniti AWS Certificate Manager e distribuiti sul sistema di bilanciamento del carico possono essere rinnovati automaticamente. ACM cerca di rinnovare i certificati prima della scadenza. Per ulteriori informazioni, consulta [Rinnovo gestito](https://docs.aws.amazon.com/acm/latest/userguide/managed-renewal.html) nella *Guida per l'utente di AWS Certificate Manager *. Se hai importato un certificato in ACM, la data di scadenza del certificato deve essere monitorata per rinnovarlo prima che scada. Per ulteriori informazioni, consulta [Importazione di certificati](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate.html) nella *Guida per l'utente di AWS Certificate Manager *. Dopo che un certificato che è stato distribuito su un load balancer viene rinnovato, le nuove richieste utilizzano il certificato rinnovato. Per sostituire un certificato, occorre innanzitutto creare un nuovo certificato seguendo la stessa procedura utilizzata per creare il certificato corrente. Quindi, puoi sostituire il certificato. Dopo che un certificato che è stato distribuito su un load balancer viene sostituito, le nuove richieste utilizzano il nuovo certificato. Nota che il rinnovo o la sostituzione di un certificato non influenza le richieste che erano già state ricevute da un nodo del load balancer e che sono in attesa di essere instradate verso una destinazione integra. **Topics** + [ ## Sostituzione del certificato SSL mediante la console ](#us-update-lb-SSLcert-console) + [ ## Sostituisci il certificato SSL utilizzando il AWS CLI ](#us-update-lb-SSLcert-cli) ## Sostituzione del certificato SSL mediante la console Puoi sostituire il certificato distribuito sul load balancer con un certificato fornito da ACM o un certificato caricato in IAM. **Per sostituire il certificato SSL per un sistema di bilanciamento del carico HTTPS utilizzando la console** 1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/). 1. Nel pannello di navigazione, sotto **Bilanciamento del carico**, scegli **Sistemi di bilanciamento del carico**. 1. Scegli il nome del sistema di bilanciamento del carico per aprirne la pagina dei dettagli. 1. Nella scheda **Listener**, scegli **Gestisci ascoltatori**. 1. Nella pagina **Gestisci ascoltatori**, individua l'ascoltatore da aggiornare, scegli **Modifica** in **Certificato SSL predefinito** ed esegui una delle seguenti operazioni: + **Se hai creato o importato un certificato utilizzando AWS Certificate Manager, scegli **Da ACM**, seleziona il certificato dall'elenco, quindi scegli Salva modifiche.** **Nota** Questa opzione è disponibile solo nelle regioni che supportano AWS Certificate Manager. + Se hai importato un certificato mediante IAM, scegli **Da IAM**, seleziona il certificato dall'elenco, quindi scegli **Salva modifiche**. + Se disponi di un certificato SSL da importare in ACM, seleziona **Importa** e **Per ACM**. In **Chiave privata del certificato**, copia e incolla il contenuto del file della chiave privata con codifica PEM. In **Corpo certificato**, copia e incolla il contenuto del file del certificato della chiave pubblica con codifica PEM. In **Catena di certificati - facoltativo**, copia e incolla il contenuto del file della catena di certificati con codifica PEM, a meno che non utilizzi un certificato auto-firmato e non sia importante che i browser accettino implicitamente il certificato. + Se disponi di un certificato SSL da importare, ma ACM non è supportato in questa regione, seleziona **Importa** e **Per IAM**. In **Nome del certificato**, digita il nome del certificato. In **Chiave privata del certificato**, copia e incolla il contenuto del file della chiave privata con codifica PEM. In **Corpo certificato**, copia e incolla il contenuto del file del certificato della chiave pubblica con codifica PEM. In **Catena di certificati - facoltativo**, copia e incolla il contenuto del file della catena di certificati con codifica PEM, a meno che non utilizzi un certificato auto-firmato e non sia importante che i browser accettino implicitamente il certificato. + Scegli **Save changes** (Salva modifiche). ## Sostituisci il certificato SSL utilizzando il AWS CLI Puoi sostituire il certificato distribuito sul load balancer con un certificato fornito da ACM o un certificato caricato in IAM. **Per sostituire un certificato SSL con un certificato fornito da ACM** 1. Utilizzare il comando [request-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm/request-certificate.html) seguente per richiedere un nuovo certificato: ``` aws acm request-certificate --domain-name www.example.com ``` 1. Usa il seguente comando [set-load-balancer-listener-ssl-certificate per impostare il certificato](https://docs.aws.amazon.com/cli/latest/reference/elb/set-load-balancer-listener-ssl-certificate.html): ``` aws elb set-load-balancer-listener-ssl-certificate --load-balancer-name my-load-balancer --load-balancer-port 443 --ssl-certificate-id arn:aws:acm:region:123456789012:certificate/12345678-1234-1234-1234-123456789012 ``` **Per sostituire un certificato SSL con un certificato caricato in IAM** 1. Se si dispone di un certificato SSL, ma non è stato caricato, consulta [Caricamento di un certificato del server](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_server-certs.html#upload-server-certificate) nella *Guida per l'utente di IAM*. 1. Usa il seguente [get-server-certificate](https://docs.aws.amazon.com/cli/latest/reference/iam/get-server-certificate.html)comando per ottenere l'ARN del certificato: ``` aws iam get-server-certificate --server-certificate-name my-new-certificate ``` 1. Utilizzate il seguente comando [set-load-balancer-listener-ssl-certificate per impostare il certificato](https://docs.aws.amazon.com/cli/latest/reference/elb/set-load-balancer-listener-ssl-certificate.html): ``` aws elb set-load-balancer-listener-ssl-certificate --load-balancer-name my-load-balancer --load-balancer-port 443 --ssl-certificate-id arn:aws:iam::123456789012:server-certificate/my-new-certificate ``` # Aggiornamento della configurazione di negoziazione SSL di Classic Load Balancer Aggiornamento della configurazione di negoziazione SSL Elastic Load Balancing fornisce policy di sicurezza predefinite che dispongono di configurazioni di negoziazione SSL predefinite da utilizzare per negoziare connessioni SSL tra i client e il load balancer. Se si utilizza il HTTPS/SSL protocollo per il proprio listener, è possibile utilizzare una delle politiche di sicurezza predefinite o utilizzare una politica di sicurezza personalizzata. Per ulteriori informazioni sulle policy di sicurezza, consulta [Configurazioni della negoziazione SSL per Classic Load Balancer](elb-ssl-security-policy.md). Per informazioni sulle configurazioni delle policy di sicurezza fornite da Elastic Load Balancing, consulta [Policy di sicurezza SSL predefinite per Classic Load Balancer](elb-security-policy-table.md). Se crei un HTTPS/SSL listener senza associare una policy di sicurezza, Elastic Load Balancing associa la policy di sicurezza predefinita predefinita al tuo load balancer`ELBSecurityPolicy-2016-08`. Se preferisci, puoi creare una configurazione personalizzata. Ti consigliamo vivamente di testare la tua politica di sicurezza prima di aggiornare la configurazione del bilanciamento del carico. Gli esempi seguenti mostrano come aggiornare la configurazione di negoziazione SSL per un listener. HTTPS/SSL Nota che la modifica non influenza le richieste che erano state ricevute da un nodo del load balancer e che sono in attesa del routing a un'istanza integra, ma la configurazione aggiornata verrà utilizzata con le nuove richieste ricevute. **Topics** + [ ## Aggiornamento della configurazione di negoziazione SSL mediante la console ](#ssl-config-update-console) + [ ## Aggiorna la configurazione di negoziazione SSL utilizzando il AWS CLI ](#ssl-config-update-cli) ## Aggiornamento della configurazione di negoziazione SSL mediante la console Per impostazione predefinita, Elastic Load Balancing associa le policy predefinite più recenti al tuo load balancer. Quando una nuova policy predefinita viene aggiunta, è consigliabile aggiornare il load balancer in modo che utilizzi la nuova policy predefinita. In alternativa, puoi selezionare un'altra policy di sicurezza predefinita oppure creare una policy personalizzata. **Per aggiornare la configurazione di negoziazione SSL per un sistema di bilanciamento del carico utilizzando la console HTTPS/SSL** 1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/). 1. Nel pannello di navigazione, sotto **Bilanciamento del carico**, scegli **Sistemi di bilanciamento del carico**. 1. Scegli il nome del sistema di bilanciamento del carico per aprirne la pagina dei dettagli. 1. Nella scheda **Listener**, scegli **Gestisci ascoltatori**. 1. Nella pagina **Gestisci ascoltatori**, individua l'ascoltatore da aggiornare, scegli **Modifica** in **Policy di sicurezza** e seleziona una policy di sicurezza utilizzando una delle seguenti opzioni: + **Mantieni la politica predefinita, **ELBSecurityPolicy-2016-08**, quindi scegli Salva modifiche.** + Seleziona una policy predefinita diversa da quella di default, quindi scegli **Salva modifiche**. + Seleziona **Personalizzato** e abilita almeno un protocollo e una crittografia come segue: 1. Per **SSL Protocols (Protocolli SSL)**, seleziona uno o più protocolli da abilitare. 1. Per **SSL Options (Opzioni SSL)**, seleziona **Server Order Preference (Preferenza ordine server)** per utilizzare l'ordine elencato nelle [Policy di sicurezza SSL predefinite per Classic Load Balancer](elb-security-policy-table.md) per la negoziazione SSL. 1. Per **SSL Ciphers (Crittografie SSL)**, seleziona uno o più crittografie da abilitare. Se si dispone già di un certificato SSL, occorre abilitare la crittografia che è stata utilizzata per creare il certificato, perché le crittografie DSA e RSA sono specifiche dell'algoritmo di firma. 1. Scegli **Save changes** (Salva modifiche). ## Aggiorna la configurazione di negoziazione SSL utilizzando il AWS CLI Puoi utilizzare la policy di sicurezza predefinita di default, `ELBSecurityPolicy-2016-08`, una policy di sicurezza predefinita diversa oppure una policy di sicurezza personalizzata. **Per usare una policy di sicurezza SSL predefinita** 1. Usa il [describe-load-balancer-policies](https://docs.aws.amazon.com/cli/latest/reference/elb/describe-load-balancer-policies.html)comando seguente per elencare le politiche di sicurezza predefinite fornite da Elastic Load Balancing. La sintassi utilizzata dipende dal sistema operativo e dalla shell in uso. **Linux** ``` aws elb describe-load-balancer-policies --query 'PolicyDescriptions[?PolicyTypeName==`SSLNegotiationPolicyType`].{PolicyName:PolicyName}' --output table ``` **Windows** ``` aws elb describe-load-balancer-policies --query "PolicyDescriptions[?PolicyTypeName==`SSLNegotiationPolicyType`].{PolicyName:PolicyName}" --output table ``` Di seguito è riportato un output di esempio: ``` ------------------------------------------ | DescribeLoadBalancerPolicies | +----------------------------------------+ | PolicyName | +----------------------------------------+ | ELBSecurityPolicy-2016-08 | | ELBSecurityPolicy-TLS-1-2-2017-01 | | ELBSecurityPolicy-TLS-1-1-2017-01 | | ELBSecurityPolicy-2015-05 | | ELBSecurityPolicy-2015-03 | | ELBSecurityPolicy-2015-02 | | ELBSecurityPolicy-2014-10 | | ELBSecurityPolicy-2014-01 | | ELBSecurityPolicy-2011-08 | | ELBSample-ELBDefaultCipherPolicy | | ELBSample-OpenSSLDefaultCipherPolicy | +----------------------------------------+ ``` Per determinare quali crittografie sono abilitate per una policy, utilizzare il comando seguente: ``` aws elb describe-load-balancer-policies --policy-names ELBSecurityPolicy-2016-08 --output table ``` Per informazioni sula configurazione delle policy di sicurezza predefinite, consulta [Policy di sicurezza SSL predefinite per Classic Load Balancer](elb-security-policy-table.md). 1. Utilizzate il [create-load-balancer-policy](https://docs.aws.amazon.com/cli/latest/reference/elb/create-load-balancer-policy.html)comando per creare una politica di negoziazione SSL utilizzando una delle politiche di sicurezza predefinite descritte nel passaggio precedente. Ad esempio, il comando seguente utilizza la policy di sicurezza predefinita di default: ``` aws elb create-load-balancer-policy --load-balancer-name my-loadbalancer --policy-name my-SSLNegotiation-policy --policy-type-name SSLNegotiationPolicyType --policy-attributes AttributeName=Reference-Security-Policy,AttributeValue=ELBSecurityPolicy-2016-08 ``` Se superi il limite del numero di policy per il load balancer, usa il [delete-load-balancer-policy](https://docs.aws.amazon.com/cli/latest/reference/elb/delete-load-balancer-policy.html)comando per eliminare tutte le politiche non utilizzate. 1. (Facoltativo) Utilizzate il seguente [describe-load-balancer-policies](https://docs.aws.amazon.com/cli/latest/reference/elb/describe-load-balancer-policies.html)comando per verificare che la policy sia stata creata: ``` aws elb describe-load-balancer-policies --load-balancer-name my-loadbalancer --policy-name my-SSLNegotiation-policy ``` La risposta include la descrizione della policy. 1. Utilizzate il seguente comando [set-load-balancer-policies-of-listener](https://docs.aws.amazon.com/cli/latest/reference/elb/set-load-balancer-policies-of-listener.html) per abilitare la policy sulla porta 443 di load balancer: ``` aws elb set-load-balancer-policies-of-listener --load-balancer-name my-loadbalancer --load-balancer-port 443 --policy-names my-SSLNegotiation-policy ``` **Nota** Il comando `set-load-balancer-policies-of-listener` sostituisce l'insieme di policy corrente per la porta del load balancer specificata con l'insieme di policy specificato. L'elenco `--policy-names` deve includere tutte le policy da abilitare. Se si omette una policy attualmente abilitata, questa viene disabilitata. 1. (Facoltativo) Utilizzate il seguente [describe-load-balancers](https://docs.aws.amazon.com/cli/latest/reference/elb/describe-load-balancers.html)comando per verificare che la nuova policy sia abilitata per la porta di bilanciamento del carico: ``` aws elb describe-load-balancers --load-balancer-name my-loadbalancer ``` La risposta mostra che la policy è abilitata sulla porta 443. ``` ... { "Listener": { "InstancePort": 443, "SSLCertificateId": "ARN", "LoadBalancerPort": 443, "Protocol": "HTTPS", "InstanceProtocol": "HTTPS" }, "PolicyNames": [ "my-SSLNegotiation-policy" ] } ... ``` Quando si crea una policy di sicurezza personalizzata, occorre abilitare almeno un protocollo e una crittografia. Le crittografie DSA e RSA sono specifiche dell'algoritmo di firma e sono utilizzate per creare il certificato SSL. Se disponi già di un certificato SSL, assicurati di abilitare la crittografia che è stata utilizzata per creare il certificato. Il nome della policy personalizzata non deve iniziare con `ELBSecurityPolicy-` o `ELBSample-`, poiché questi prefissi sono prenotati per i nomi delle policy di sicurezza predefinite. **Per usare una policy di sicurezza SSL personalizzata** 1. Utilizzate il [create-load-balancer-policy](https://docs.aws.amazon.com/cli/latest/reference/elb/create-load-balancer-policy.html)comando per creare una politica di negoziazione SSL utilizzando una politica di sicurezza personalizzata. Esempio: ``` aws elb create-load-balancer-policy --load-balancer-name my-loadbalancer --policy-name my-SSLNegotiation-policy --policy-type-name SSLNegotiationPolicyType --policy-attributes AttributeName=Protocol-TLSv1.2,AttributeValue=true AttributeName=Protocol-TLSv1.1,AttributeValue=true AttributeName=DHE-RSA-AES256-SHA256,AttributeValue=true AttributeName=Server-Defined-Cipher-Order,AttributeValue=true ``` Se superi il limite del numero di policy per il load balancer, usa il [delete-load-balancer-policy](https://docs.aws.amazon.com/cli/latest/reference/elb/delete-load-balancer-policy.html)comando per eliminare tutte le politiche non utilizzate. 1. (Facoltativo) Utilizzate il seguente [describe-load-balancer-policies](https://docs.aws.amazon.com/cli/latest/reference/elb/describe-load-balancer-policies.html)comando per verificare che la policy sia stata creata: ``` aws elb describe-load-balancer-policies --load-balancer-name my-loadbalancer --policy-name my-SSLNegotiation-policy ``` La risposta include la descrizione della policy. 1. Utilizzate il seguente comando [set-load-balancer-policies-of-listener](https://docs.aws.amazon.com/cli/latest/reference/elb/set-load-balancer-policies-of-listener.html) per abilitare la policy sulla porta 443 di load balancer: ``` aws elb set-load-balancer-policies-of-listener --load-balancer-name my-loadbalancer --load-balancer-port 443 --policy-names my-SSLNegotiation-policy ``` **Nota** Il comando `set-load-balancer-policies-of-listener` sostituisce l'insieme di policy corrente per la porta del load balancer specificata con l'insieme di policy specificato. L'elenco `--policy-names` deve includere tutte le policy da abilitare. Se si omette una policy attualmente abilitata, questa viene disabilitata. 1. (Facoltativo) Utilizzate il seguente [describe-load-balancers](https://docs.aws.amazon.com/cli/latest/reference/elb/describe-load-balancers.html)comando per verificare che la nuova policy sia abilitata per la porta di bilanciamento del carico: ``` aws elb describe-load-balancers --load-balancer-name my-loadbalancer ``` La risposta mostra che la policy è abilitata sulla porta 443. ``` ... { "Listener": { "InstancePort": 443, "SSLCertificateId": "ARN", "LoadBalancerPort": 443, "Protocol": "HTTPS", "InstanceProtocol": "HTTPS" }, "PolicyNames": [ "my-SSLNegotiation-policy" ] } ... ```