Criar um receptor HTTPS para seu Application Load Balancer - Elastic Load Balancing
Pré-requisitosAdicionar um receptor HTTPS

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criar um receptor HTTPS para seu Application Load Balancer

Um receptor verifica se há solicitações de conexão. Você define um listener ao criar seu load balancer e você pode adicionar listeners ao seu load balancer a qualquer momento.

Para criar um receptor HTTPS, você deve implantar pelo menos um certificado de servidor SSL no balanceador de carga. O load balancer usa um certificado de servidor para encerrar a conexão front-end e descriptografa solicitações dos clientes antes de enviá-las aos destinos. Você também deve especificar uma política de segurança que será usada para negociar conexões protegidas entre os clientes e o balanceador de carga.

Se precisar transmitir tráfego criptografado para destinos sem que o balanceador de carga o decodifique, você poderá criar um Network Load Balancer ou Classic Load Balancer com um receptor TCP na porta 443. Com um receptor TCP, o balanceador de carga transmite o tráfego criptografado para os destinos sem descriptografá-lo.

As informações dessa página ajudam você a criar um listener HTTPS para o load balancer. Para adicionar um listener HTTPS ao seu load balancer, consulte Criar um receptor HTTP para seu Application Load Balancer.

Pré-requisitos

  • Para criar um listener HTTPS, você deverá especificar um certificado e uma política de segurança. O load balancer usará o certificado para encerrar a conexão e descriptografar solicitações dos clientes antes de roteá-las aos destinos. O load balancer usa a política de segurança ao negociar conexões SSL com os clientes.

    Os Application Load Balancers não oferecem suporte a ED25519 chaves.

  • Para adicionar uma ação de encaminhamento à regra do listener padrão, você deve especificar um grupo de destino disponível. Para obter mais informações, consulte Criar um grupo de destino para o Application Load Balancer.

  • Você pode especificar o mesmo grupo de destino em vários receptores, mas esses receptores devem pertencer ao mesmo balanceador de carga. Para usar um grupo de destino com um balanceador de carga, você deve verificar se ele não está sendo usado por um receptor para nenhum outro balanceador de carga.

Adicionar um receptor HTTPS

Você configura um listener com um protocolo e uma porta para as conexões de clientes com o load balancer, e um grupo de destino para a regra do listener padrão. Para obter mais informações, consulte Configuração do receptor.

Adicionar um listener HTTPS usando o console

  1. Abra o EC2 console da Amazon em https://console.aws.amazon.com/ec2/.

  2. No painel de navegação, selecione Balanceador de carga.

  3. Selecione o load balancer.

  4. Na guia Receptores e regras, escolha Adicionar receptor.

  5. Em Protocolo:Porta, escolha HTTPS e mantenha a porta padrão ou insira outra porta.

  6. (Opcional) Para habilitar a autenticação, em Autenticação, selecione Usar OpenID ou Amazon Cognito e forneça as informações solicitadas. Para obter mais informações, consulte Autenticar usuários usando um Application Load Balancer.

  7. Para ações de roteamento, faça o seguinte:

    • Encaminhar para grupos-alvo — Escolha os grupos-alvo para os quais encaminhar o tráfego. Para adicionar grupos de destino, escolha Adicionar grupo de destino. Se estiver usando mais de um grupo de destino, selecione um peso para cada um e revise o percentual associado. Se tiver habilitado a persistência em um ou mais dos grupos de destino, você deverá ativar a persistência no nível de grupo em uma regra.

    • Redirecionar para URL — Insira o URL para o qual as solicitações do cliente serão redirecionadas. É possível fazer isso inserindo cada parte separadamente na guia de Partes do URI ou inserindo o endereço completo na guia URL completo. Em Código de status, você pode configurar redirecionamentos como temporários (HTTP 302) ou permanentes (HTTP 301) com base em suas necessidades.

    • Retornar resposta fixa — insira o código de resposta para retornar às solicitações canceladas do cliente. Opcionalmente, você pode especificar o tipo de conteúdo e o corpo da resposta.

  8. Em Política de segurança, recomendamos que você sempre use a política de segurança predefinida mais recente.

  9. Em Certificado SSL/TLS padrão, escolha o certificado padrão. Também adicionamos o certificado padrão à lista SNI. Você pode selecionar o certificado de uma das seguintes fontes:

    • Se você criou ou importou um certificado usando AWS Certificate Manager, escolha Do ACM e escolha o certificado em Certificado (do ACM).

    • Se você importou um certificado usando o IAM, escolha Do IAM e, em seguida, escolha o certificado do Certificado (do IAM).

    • Se você tiver um certificado, escolha Importar certificado. Escolha Importar para o ACM ou Importar para o IAM. Para a chave privada do certificado, copie e cole o conteúdo do arquivo de chave privada (codificado por PEM). Para Corpo do certificado, copie e cole o conteúdo do arquivo de certificado de chave pública (codificado por PEM). Para a cadeia de certificados, copie e cole o conteúdo do arquivo da cadeia de certificados (codificado por PEM), a menos que você esteja usando um certificado autoassinado e não seja importante que os navegadores aceitem implicitamente o certificado.

  10. (Opcional) Para ativar a autenticação mútua, em Tratamento de certificados do cliente, ative a autenticação mútua (mTLS).

    Quando habilitado, o modo TLS mútuo padrão é de passagem.

    Caso selecione Verificar com o armazenamento confiável:

    • Por padrão, as conexões com certificados expirados de cliente são rejeitadas. Para alterar esse comportamento, expanda Configurações avançadas de mTLS e, em Expiração do certificado do cliente, selecione Permitir certificados expirados de cliente.

    • Em Armazenamentos confiáveis, escolha um armazenamento confiável existente ou Novo armazenamento confiável.

      • Se você escolher Novo armazenamento confiável, forneça um Nome do armazenamento confiável, a Localização da autoridade de certificação de URI do S3 e, opcionalmente, uma Localização da lista de revogação do certificado de URI do S3.

    • (Opcional) Escolha se você deseja habilitar Anunciar nomes de assunto da TrustStore CA.

  11. Escolha Adicionar.

  12. Para adicionar certificados à lista de certificados opcionais, consulteAdicionar certificados à lista de certificados.

Para adicionar um ouvinte HTTPS usando o AWS CLI

Use o comando create-listener para criar o listener e a regra padrão, e o comando create-rule para definir as regras de listener adicionais.