As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Listeners HTTPS para seu Classic Load Balancer
Você pode criar um balanceador de carga que usa o SSL/TLS protocolo para conexões criptografadas (também conhecido como descarregamento *de SSL*). Esse recurso permite a criptografia de tráfego entre o load balancer e os clientes que iniciam sessões HTTPS e para conexões entre seu load balancer e suas instâncias EC2.
O Elastic Load Balancing usa configurações de negociação de Secure Sockets Layer (SSL), conhecidas como *políticas de segurança*, para negociar conexões entre os clientes e o balanceador de carga. Ao usar HTTPS/SSL para suas conexões front-end, você pode usar uma política de segurança predefinida ou uma política de segurança personalizada. É preciso implantar um certificado SSL no seu load balancer. O load balancer usa esse certificado para encerrar a conexão e, em seguida, descriptografa solicitações dos clientes antes de enviá-las às instâncias. O load balancer usa um pacote de criptografia estático para conexões back-end. Você também pode optar por habilitar a autenticação em suas instâncias.
Os Classic Load Balancers não são compatíveis com Server Name Indication (SNI – Indicação de nome de servidor). Você pode usar uma das duas alternativas:
+ Implante um certificado no balanceador de carga e adicione um nome alternativo de assunto (SAN) para cada site adicional. SANs permitem que você proteja vários nomes de host usando um único certificado. Consulte seu provedor de certificados para obter mais informações sobre o número de SANs certificados suportados por certificado e como adicionar e remover SANs.
+ Use listeners de TCP na porta 443 para conexões front-end e back-end. O balanceador de carga transmite a solicitação sem alterações, para que você possa processar o encerramento HTTPS na instância do EC2.
Os Classic Load Balancers não são compatíveis com autenticação TLS mútua (mTLS). Para compatibilidade com mTLS, crie um listener TCP. O balanceador de carga transmite a solicitação sem alterações, para que você possa implementar a mTLS na instância do EC2.
**Topics**
+ [Certificados SSL/TLS](ssl-server-cert.md)
+ [Configurações de negociação SSL](elb-ssl-security-policy.md)
+ [Políticas de segurança SSL predefinidas](elb-security-policy-table.md)
+ [Criar um balanceador de carga HTTPS](elb-create-https-ssl-load-balancer.md)
+ [Configurar um listener HTTPS](elb-add-or-delete-listeners.md)
+ [Substituir o certificado SSL](elb-update-ssl-cert.md)
+ [Atualizar a configuração de negociação SSL](ssl-config-update.md)
# Certificados SSL/TLS para balanceadores de carga clássicos
Se você usar HTTPS (SSL ou TLS) para o listener front-end, deverá implantar um certificado SSL/TLS no seu load balancer. O load balancer usa o certificado para encerrar a conexão e, em seguida, descriptografa solicitações dos clientes antes de enviá-las às instâncias.
Os protocolos SSL e TLS usam um certificado X.509 (certificado de servidor SSL/TLS) para autenticar tanto o cliente quanto o aplicativo back-end. Um certificado X.509 é uma forma digital de identificação emitida por uma autoridade certificadora (CA) e contém informações de identificação, período de validade, chave pública, número de série e assinatura digital do emissor.
Você pode criar um certificado usando AWS Certificate Manager ou uma ferramenta que ofereça suporte aos protocolos SSL e TLS, como o OpenSSL. Você especificará esse certificado ao criar ou atualizar um listener HTTPS para seu load balancer. Quando você cria um certificado para uso com seu load balancer, é necessário especificar um nome de domínio.
Quando você cria um certificado para uso com seu load balancer, é necessário especificar um nome de domínio. O nome de domínio no certificado deve corresponder ao registro de nome de domínio personalizado. Se eles não coincidirem, o tráfego não será criptografado, pois a conexão TLS não pode ser verificada.
Você precisa especificar um nome de domínio totalmente qualificado (FQDN) para seu certificado, como `www.example.com` ou um nome de domínio de apex como `example.com`. Você também pode usar um asterisco (\$1) como um caractere curinga para proteger vários nomes de site no mesmo domínio. Quando você solicita um certificado-curinga, o asterisco (\$1) deve estar na posição mais à esquerda do nome do domínio e só pode proteger um nível de subdomínio. Por exemplo,`*.example.com` protege `corp.example.com` e `images.example.com`, mas não pode proteger `test.login.example.com`. Note também que `*.example.com` protege apenas os subdomínios de `example.com`, mas não protege o domínio vazio ou apex (`example.com`). O nome-curinga será exibido no campo **Subject (Assunto)** e na extensão **Subject Alternative Name (Nome alternativo do assunto)** do certificado. Para obter mais informações sobre certificados públicos, consulte [Solicitação de um certificado público](https://docs.aws.amazon.com/acm/latest/userguide/gs-acm-request-public.html#request-public-console) no *Manual do usuário do AWS Certificate Manager *.
## Crie ou importe um SSL/TLS certificado usando AWS Certificate Manager
Recomendamos que você use AWS Certificate Manager (ACM) para criar ou importar certificados para seu balanceador de carga. O ACM se integra ao Elastic Load Balancing para que você possa implantar o certificado em seu balanceador de carga. Para implantar um certificado em seu balanceador de carga, o certificado deverá estar na mesma região que o balanceador de carga. Para obter mais informações, consulte [Solicitar um certificado público](https://docs.aws.amazon.com/acm/latest/userguide/gs-acm-request-public.html) ou [Importar certificados](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate.html) no *Manual do usuário do AWS Certificate Manager *.
Para permitir que um usuário implante o certificado em seu balanceador de carga usando o Console de gerenciamento da AWS, você deve permitir o acesso à ação da API `ListCertificates` do ACM. Para obter mais informações, consulte [Listar certificados](https://docs.aws.amazon.com/acm/latest/userguide/security_iam_id-based-policy-examples.html#policy-list-certificates) no *Manual do usuário do AWS Certificate Manager *.
**Importante**
Não é possível instalar certificados com chaves RSA de 4.096 bits ou chaves EC no balanceador de carga por meio de integração com o ACM. É necessário fazer upload dos certificados com chaves RSA de 4.096 bits ou chaves EC no IAM para usá-los com o balanceador de carga.
## Importar um SSL/TLS certificado usando o IAM
Se você não estiver usando o ACM, poderá usar SSL/TLS ferramentas, como o OpenSSL, para criar uma solicitação de assinatura de certificado (CSR), obter a CSR assinada por uma CA para produzir um certificado e carregar o certificado no IAM. Para obter mais informações, consulte [Working with server certificates](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_server-certs.html) (Trabalho com certificados do servidor) no *Guia de usuário do IAM*.
# Configurações de negociação SSL para balanceadores de carga clássicos
O Elastic Load Balancing usa uma configuração de negociação com Secure Sockets Layer (SSL), conhecida como *política de segurança*, para negociar conexões SSL entre um cliente e o balanceador de carga. A política de segurança é uma combinação de protocolos SSL, cifras SSL e a opção Preferência ditada pelo servidor. Para obter mais informações sobre como configurar uma conexão SSL para seu load balancer, consulte [Listeners para seu Classic Load Balancer](elb-listener-config.md).
**Topics**
+ [Políticas de segurança](#security-policy-types)
+ [Protocolos SSL](#ssl-protocols)
+ [Preferência ditada pelo servidor](#server-order-preference)
+ [Codificações SSL](#ssl-ciphers)
+ [Pacote de criptografia para conexões de back-end](#elb-backend-cipher-suite)
## Políticas de segurança
Uma política de segurança determina quais cifras e protocolos são suportados nas negociações SSL entre um cliente e um load balancer. Você pode configurar os balanceadores de carga clássicos para usar políticas de segurança predefinidas ou personalizadas.
Observe que um certificado fornecido pelo AWS Certificate Manager (ACM) contém uma chave pública RSA. Portanto, você deve incluir um pacote de criptografia que use RSA na sua política de segurança, caso use um certificado fornecido pelo ACM. Caso contrário, a conexão TLS falhará.
**Políticas de segurança predefinidas**
Os nomes das políticas de segurança predefinidas mais recentes incluem informações da versão com base no ano e no mês em que foram lançadas. Por exemplo, a política de segurança padrão predefinida é `ELBSecurityPolicy-2016-08`. Sempre que uma nova política de segurança predefinido for liberado, você pode atualizar sua configuração para usá-la.
Para obter informações sobre os protocolos e cifras habilitados para as políticas de segurança predefinidas, consulte [Políticas de segurança SSL predefinidas para balanceadores de carga clássicos](elb-security-policy-table.md).
**Políticas de segurança personalizadas**
Você pode criar uma configuração de negociação personalizada com as cifras e os protocolos de que você precisa. Por exemplo: alguns padrões de conformidade de segurança (como PCI e SOC) podem exigir um conjunto específico de protocolos e cifras para garantir que os padrões de segurança sejam atendidos. Nesses casos, você pode criar uma política de segurança personalizada para atender a esses padrões.
Para obter informações sobre a criação de uma política de segurança personalizada, consulte [Atualizar a configuração de negociação SSL do seu Classic Load Balancer](ssl-config-update.md).
## Protocolos SSL
O *protocolo SSL* estabelece uma conexão segura entre um cliente e um servidor, além de garantir que todos os dados passados entre o cliente e o load balancer sejam privados.
Secure Sockets Layer (SSL) e Transport Layer Security (TLS) são protocolos de criptografia usados para criptografar dados confidenciais em redes não seguras, como a Internet. O protocolo TLS é uma versão mais recente do protocolo SSL. Na documentação do Elastic Load Balancing, nós nos referimos à documentação dos protocolos SSL e TLS como protocolo SSL.
**Protocolo recomendado**
Recomendamos o TLS 1.2, que é usado na política de segurança predefinida ELBSecurity Policy-TLS-1-2-2017-01. Você também pode usar o TLS 1.2 em suas políticas personalizadas de segurança. A política de segurança padrão oferece suporte ao TLS 1.2 e às versões anteriores do TLS, portanto, é menos ELBSecurity segura do que a Policy-TLS-1-2-2017-01.
**Protocolo descontinuado**
Caso tenha habilitado o protocolo SSL 2.0 anteriormente em uma política personalizada, recomendamos que atualize sua política de segurança para uma das políticas de segurança predefinidas.
## Preferência ditada pelo servidor
O Elastic Load Balancing é compatível com a opção *Server Order Preference* (Preferência de ordem de servidor) para negociar conexões entre um cliente e um balanceador de carga. Durante o processo de negociação de conexão SSL, o cliente e o load balancer apresentam uma lista de cifras e protocolos que cada um suporta, em ordem de preferência. Por padrão, a primeira lista de cifras no cliente que corresponde a qualquer uma das cifras do load balancer é selecionada para a conexão SSL. Se o load balancer estiver configurado para oferecer suporte à Preferência ditada pelo servidor, o load balancer selecionará a primeira cifra de sua lista que estiver na lista de cifras do cliente. Isso garante que o load balancer determine qual cifra é usada para conexão SSL. Se você não ativar a Preferência ditada pelo servidor, a ordem das cifras apresentada pelo cliente será usada para negociar conexões entre o cliente e o load balancer.
## Codificações SSL
Um *cifra SSL* é um algoritmo de criptografia que usa chaves de criptografia para criar uma mensagem codificada. Os protocolos SSL usam várias codificações SSL para criptografar dados pela Internet.
Observe que um certificado fornecido pelo AWS Certificate Manager (ACM) contém uma chave pública RSA. Portanto, você deve incluir um pacote de criptografia que use RSA na sua política de segurança, caso use um certificado fornecido pelo ACM. Caso contrário, a conexão TLS falhará.
O Elastic Load Balancing oferece suporte às seguintes codificações para uso com balanceadores de carga clássicos. Um subconjunto dessas cifras é usado pelas políticas SSL predefinidas. Todas essas cifras estão disponíveis para uso em uma política personalizada. Recomendamos que você use somente as cifras incluídas na política de segurança padrão (aquelas com um asterisco). Muitas das outras cifras não são seguras e devem ser usadas por sua conta e risco.
**Cifras**
+ ECDHE-ECDSA- -GCM- \$1 AES128 SHA256
+ ECDHE-RSA- -GCM- \$1 AES128 SHA256
+ ECDHE-ECDSA- - \$1 AES128 SHA256
+ ECDHE-RSA- - \$1 AES128 SHA256
+ ECDHE-ECDSA- -SHA \$1 AES128
+ ECDHE-RSA- -SHA \$1 AES128
+ DHE-RSA- -SHA AES128
+ ECDHE-ECDSA- -GCM- \$1 AES256 SHA384
+ ECDHE-RSA- -GCM- \$1 AES256 SHA384
+ ECDHE-ECDSA- - \$1 AES256 SHA384
+ ECDHE-RSA- - \$1 AES256 SHA384
+ ECDHE-RSA- -SHA \$1 AES256
+ ECDHE-ECDSA- -SHA \$1 AES256
+ AES128-GCM- \$1 SHA256
+ AES128-SHA256 \$1
+ AES128-SHA\$1
+ AES256-GCM- \$1 SHA384
+ AES256-SHA256 \$1
+ AES256-SHA\$1
+ DHE-DSS- -SHA AES128
+ CAMELLIA128-SHA
+ EDH-RSA-DES- -SHA CBC3
+ DES- CBC3 SHA
+ ECDHE-RSA- -SHA RC4
+ RC4-SHA
+ ECDHE-ECDSA- -SHA RC4
+ DHE-DSS- -GCM- AES256 SHA384
+ DHE-RSA- -GCM- AES256 SHA384
+ DHE-RSA- - AES256 SHA256
+ DHE-DSS- - AES256 SHA256
+ DHE-RSA- -SHA AES256
+ DHE-DSS- -SHA AES256
+ DHE-RSA- -SHA CAMELLIA256
+ DHE-DSS- -SHA CAMELLIA256
+ CAMELLIA256-SHA
+ EDH-DSS-DES- -SHA CBC3
+ DHE-DSS- -GCM- AES128 SHA256
+ DHE-RSA- -GCM- AES128 SHA256
+ DHE-RSA- - AES128 SHA256
+ DHE-DSS- - AES128 SHA256
+ DHE-RSA- -SHA CAMELLIA128
+ DHE-DSS- -SHA CAMELLIA128
+ ADH- AES128 -GCM- SHA256
+ ADH- -SHA AES128
+ ADH- - AES128 SHA256
+ ADH- AES256 -GCM- SHA384
+ ADH- -SHA AES256
+ ADH- - AES256 SHA256
+ ADH- -SHA CAMELLIA128
+ ADH- -SHA CAMELLIA256
+ ADH-DES- -SHA CBC3
+ ADH-DES-CBC-SHA
+ ADH- - RC4 MD5
+ ADH-SEED-SHA
+ DES-CBC-SHA
+ DHE-DSS-SEED-SHA
+ DHE-RSA-SEED-SHA
+ EDH-DSS-DES-CBC-SHA
+ EDH-RSA-DES-CBC-SHA
+ IDEA-CBC-SHA
+ RC4-MD5
+ SEED-SHA
+ DES- CBC3 - MD5
+ DES-CBC- MD5
+ RC2-HEMOGRAMA- MD5
+ PSK- CBC-SHA AES256
+ PSK-3DES-EDE-CBC-SHA
+ KRB5-DES- CBC3 -SHA
+ KRB5-DES- - CBC3 MD5
+ PSK- CBC-SHA AES128
+ PSK- -SHA RC4
+ KRB5- RC4 -SHAH
+ KRB5-RC4-MD5
+ KRB5-DES-CBC-SHA
+ KRB5-DES-CBC- MD5
+ EXP-EDH-RSA-DES-CBC-SHA
+ EXP-EDH-DSS-DES-CBC-SHA
+ EXP-ADH-DES-CBC-SHA
+ EXP-DES-CBC-SHA
+ EXP- RC2 -CBC- MD5
+ EXP- KRB5 - -CBC-SHA RC2
+ EXP- KRB5 DES-CBC-SHA
+ EXP- KRB5 - RC2 -CBC- MD5
+ EXP- KRB5 -DES-CBC- MD5
+ EXP-ADH- - RC4 MD5
+ EXP- - RC4 MD5
+ EXP- KRB5 - -SHA RC4
+ EXP- KRB5 - - RC4 MD5
\$1 Essas são as cifras incluídas na política de segurança padrão, ELBSecurity Policy-2016-08.
## Pacote de criptografia para conexões de back-end
O Classic Load Balancer usa um pacote de criptografia estático para conexões back-end. Se o Classic Load Balancer e as instâncias registradas não conseguirem negociar uma conexão, inclua uma das cifras a seguir.
+ AES256-GCM- SHA384
+ AES256-SHA256
+ AES256-SHA
+ CAMELLIA256-SHA
+ AES128-GCM- SHA256
+ AES128-SHA256
+ AES128-SHA
+ CAMELLIA128-SHA
+ RC4-SHA
+ DES- CBC3 SHA
+ DES-CBC-SHA
+ DHE-DSS- -GCM- AES256 SHA384
+ DHE-RSA- -GCM- AES256 SHA384
+ DHE-RSA- - AES256 SHA256
+ DHE-DSS- - AES256 SHA256
+ DHE-RSA- -SHA AES256
+ DHE-DSS- -SHA AES256
+ DHE-RSA- -SHA CAMELLIA256
+ DHE-DSS- -SHA CAMELLIA256
+ DHE-DSS- -GCM- AES128 SHA256
+ DHE-RSA- -GCM- AES128 SHA256
+ DHE-RSA- - AES128 SHA256
+ DHE-DSS- - AES128 SHA256
+ DHE-RSA- -SHA AES128
+ DHE-DSS- -SHA AES128
+ DHE-RSA- -SHA CAMELLIA128
+ DHE-DSS- -SHA CAMELLIA128
+ EDH-RSA-DES- -SHA CBC3
+ EDH-DSS-DES- -SHA CBC3
+ EDH-RSA-DES-CBC-SHA
+ EDH-DSS-DES-CBC-SHA
# Políticas de segurança SSL predefinidas para balanceadores de carga clássicos
Você pode escolher uma das políticas de segurança predefinidas para os seus ouvintes de HTTPS/SSL. Você pode usar uma das políticas `ELBSecurityPolicy-TLS` para atender aos requisitos de conformidade e padrões de segurança que exigem a desativação de determinadas versões do protocolo TLS. Como alternativa, você pode criar uma política de segurança personalizada. Para obter mais informações, consulte [Atualizar a configuração de negociação SSL](ssl-config-update.md).
Cifras baseadas em RSA e DSA são específicas do algoritmo de assinatura usado para criar o certificado SSL. Crie um certificado SSL usando o algoritmo de assinatura baseado na cifras habilitadas para a sua política de segurança.
Se você selecionar uma política habilitada para Preferência de ordem de servidor, o balanceador de carga usará as codificações na ordem em que forem especificadas aqui para negociar conexões entre o cliente e o balanceador de carga. Caso contrário, o load balancer usará as cifras na ordem em que forem apresentadas pelo cliente.
As seções a seguir descrevem as políticas de segurança predefinidas mais recentes para Classic Load Balancers, incluindo as cifras SSL e os protocolos SSL habilitados. Você também pode descrever as políticas predefinidas usando o [describe-load-balancer-policies](https://docs.aws.amazon.com/cli/latest/reference/elb/describe-load-balancer-policies.html)comando.
**dica**
Essas informações se aplicam somente aos Classic Load Balancers. Para obter informações que se apliquem aos outros balanceadores de carga, consulte [Políticas de segurança para o Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/describe-ssl-policies.html) e [Políticas de segurança para o Network Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/describe-ssl-policies.html).
**Topics**
+ [Protocolos por política](#tls-protocols)
+ [Cifras por política](#tls-policy-ciphers)
+ [Políticas por cifra](#tls-cipher-policies)
## Protocolos por política
A tabela a seguir descreve os protocolos TLS compatíveis com cada política de segurança.
| Políticas de segurança | TLS 1.2 | TLS 1.1 | TLS 1.0 |
| --- | --- | --- | --- |
| ELBSecurityPolítica-TLS-1-2-2017-01 | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/elasticloadbalancing/latest/classic/images/success_icon.svg) Sim | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/elasticloadbalancing/latest/classic/images/negative_icon.svg) Não | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/elasticloadbalancing/latest/classic/images/negative_icon.svg) Nº |
| ELBSecurityPolítica-TLS-1-1-2017-01 | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/elasticloadbalancing/latest/classic/images/success_icon.svg) Yes (Sim) | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/elasticloadbalancing/latest/classic/images/success_icon.svg) Yes (Sim) | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/elasticloadbalancing/latest/classic/images/negative_icon.svg) Não |
| ELBSecurityPolítica-2016-08 | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/elasticloadbalancing/latest/classic/images/success_icon.svg) Yes (Sim) | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/elasticloadbalancing/latest/classic/images/success_icon.svg) Yes (Sim) | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/elasticloadbalancing/latest/classic/images/success_icon.svg) Yes (Sim) |
| ELBSecurityPolítica-2015-05 | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/elasticloadbalancing/latest/classic/images/success_icon.svg) Yes (Sim) | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/elasticloadbalancing/latest/classic/images/success_icon.svg) Yes (Sim) | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/elasticloadbalancing/latest/classic/images/success_icon.svg) Yes (Sim) |
| ELBSecurityPolítica-2015-03 | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/elasticloadbalancing/latest/classic/images/success_icon.svg) Yes (Sim) | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/elasticloadbalancing/latest/classic/images/success_icon.svg) Yes (Sim) | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/elasticloadbalancing/latest/classic/images/success_icon.svg) Yes (Sim) |
| ELBSecurityPolítica-2015-02 | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/elasticloadbalancing/latest/classic/images/success_icon.svg) Yes (Sim) | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/elasticloadbalancing/latest/classic/images/success_icon.svg) Yes (Sim) | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/elasticloadbalancing/latest/classic/images/success_icon.svg) Yes (Sim) |
## Cifras por política
A tabela a seguir descreve as cifras compatíveis com cada política de segurança.
| Política de segurança | Cifras |
| --- | --- |
| ELBSecurityPolítica-TLS-1-2-2017-01 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/elasticloadbalancing/latest/classic/elb-security-policy-table.html) |
| ELBSecurityPolítica-TLS-1-1-2017-01 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/elasticloadbalancing/latest/classic/elb-security-policy-table.html) |
| ELBSecurityPolítica-2016-08 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/elasticloadbalancing/latest/classic/elb-security-policy-table.html) |
| ELBSecurityPolítica-2015-05 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/elasticloadbalancing/latest/classic/elb-security-policy-table.html) |
| ELBSecurityPolítica-2015-03 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/elasticloadbalancing/latest/classic/elb-security-policy-table.html) |
| ELBSecurityPolítica-2015-02 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/elasticloadbalancing/latest/classic/elb-security-policy-table.html) |
## Políticas por cifra
A tabela a seguir descreve as políticas de segurança compatíveis com cada cifra.
| Nome da cifra | Políticas de segurança | Pacote de cifras |
| --- | --- | --- |
| ** ECDHE-ECDSA-AESOpenSSL** — 128 GCM- SHA256 **IANA** — TLS\$1ECDHE\$1ECDSA\$1COM\$1AES\$1128\$1GCM\$1 SHA256 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/elasticloadbalancing/latest/classic/elb-security-policy-table.html) | c02b |
| ** ECDHE-RSA-AESOpenSSL** — 128 GCM- SHA256 **IANA** — TLS\$1ECDHE\$1RSA\$1COM\$1AES\$1128\$1GCM\$1 SHA256 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/elasticloadbalancing/latest/classic/elb-security-policy-table.html) | c02f |
| ** ECDHE-ECDSA-AESOpenSSL** — 128- SHA256 **IANA — TLS\$1ECDHE\$1ECDSA\$1COM\$1AES\$1128\$1CBC\$1** SHA256 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/elasticloadbalancing/latest/classic/elb-security-policy-table.html) | c023 |
| ** ECDHE-RSA-AESOpenSSL** — 128- SHA256 **IANA** — TLS\$1ECDHE\$1RSA\$1COM\$1AES\$1128\$1CBC\$1 SHA256 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/elasticloadbalancing/latest/classic/elb-security-policy-table.html) | c027 |
| ** ECDHE-ECDSA-AESOpenSSL** — 128 SHA **IANA**: TLS\$1ECDHE\$1ECDSA\$1WITH\$1AES\$1128\$1CBC\$1SHA | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/elasticloadbalancing/latest/classic/elb-security-policy-table.html) | c009 |
| ** ECDHE-RSA-AESOpenSSL** — 128 SHA **IANA**: TLS\$1ECDHE\$1RSA\$1WITH\$1AES\$1128\$1CBC\$1SHA | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/elasticloadbalancing/latest/classic/elb-security-policy-table.html) | c013 |
| ** ECDHE-ECDSA-AESOpenSSL** — 256 GCM- SHA384 **IANA** — TLS\$1ECDHE\$1ECDSA\$1COM\$1AES\$1256\$1GCM\$1 SHA384 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/elasticloadbalancing/latest/classic/elb-security-policy-table.html) | c02c |
| ** ECDHE-RSA-AESOpenSSL** — 256 GCM- SHA384 **IANA** — TLS\$1ECDHE\$1RSA\$1COM\$1AES\$1256\$1GCM\$1 SHA384 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/elasticloadbalancing/latest/classic/elb-security-policy-table.html) | c030 |
| ** ECDHE-ECDSA-AESOpenSSL** — 256- SHA384 **IANA — TLS\$1ECDHE\$1ECDSA\$1COM\$1AES\$1256\$1CBC\$1** SHA384 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/elasticloadbalancing/latest/classic/elb-security-policy-table.html) | c024 |
| ** ECDHE-RSA-AESOpenSSL** — 256- SHA384 **IANA** — TLS\$1ECDHE\$1RSA\$1COM\$1AES\$1256\$1CBC\$1 SHA384 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/elasticloadbalancing/latest/classic/elb-security-policy-table.html) | c028 |
| ** ECDHE-ECDSA-AESOpenSSL** — 256 SHA **IANA**: TLS\$1ECDHE\$1RSA\$1WITH\$1AES\$1256\$1CBC\$1SHA | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/elasticloadbalancing/latest/classic/elb-security-policy-table.html) | c014 |
| ** ECDHE-RSA-AESOpenSSL** — 256 SHA **IANA**: TLS\$1ECDHE\$1ECDSA\$1WITH\$1AES\$1256\$1CBC\$1SHA | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/elasticloadbalancing/latest/classic/elb-security-policy-table.html) | c00a |
| ** AES128OpenSSL** — -GCM- SHA256 **IANA** — TLS\$1RSA\$1COM\$1AES\$1128\$1GCM\$1 SHA256 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/elasticloadbalancing/latest/classic/elb-security-policy-table.html) | 9c |
| ** AES128OpenSSL** — - SHA256 **IANA — TLS\$1RSA\$1COM\$1AES\$1128\$1CBC\$1** SHA256 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/elasticloadbalancing/latest/classic/elb-security-policy-table.html) | 3c |
| ** AES128OpenSSL** — -SHA **IANA**: TLS\$1RSA\$1WITH\$1AES\$1128\$1CBC\$1SHA | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/elasticloadbalancing/latest/classic/elb-security-policy-table.html) | 2f |
| ** AES256OpenSSL** — -GCM- SHA384 **IANA** — TLS\$1RSA\$1COM\$1AES\$1256\$1GCM\$1 SHA384 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/elasticloadbalancing/latest/classic/elb-security-policy-table.html) | 9d |
| ** AES256OpenSSL** — - SHA256 **IANA — TLS\$1RSA\$1COM\$1AES\$1256\$1CBC\$1** SHA256 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/elasticloadbalancing/latest/classic/elb-security-policy-table.html) | 3d |
| ** AES256OpenSSL** — -SHA **IANA**: TLS\$1RSA\$1WITH\$1AES\$1256\$1CBC\$1SHA | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/elasticloadbalancing/latest/classic/elb-security-policy-table.html) | 35 |
| ** DHE-RSA-AESOpenSSL** — 128 SHA **IANA**: TLS\$1DHE\$1RSA\$1WITH\$1AES\$1128\$1CBC\$1SHA | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/elasticloadbalancing/latest/classic/elb-security-policy-table.html) | 33 |
| ** DHE-DSS-AESOpenSSL** — 128 SHA **IANA**: TLS\$1DHE\$1DSS\$1WITH\$1AES\$1128\$1CBC\$1SHA | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/elasticloadbalancing/latest/classic/elb-security-policy-table.html) | 32 |
| **OpenSSL** — DS-HA CBC3 **IANA**: TLS\$1RSA\$1WITH\$13DES\$1EDE\$1CBC\$1SHA | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/elasticloadbalancing/latest/classic/elb-security-policy-table.html) | 0a |
# Criar um Classic Load Balancer com um listener HTTPS
Um load balancer leva solicitações de clientes e as distribui entre as instâncias EC2 registradas com o load balancer.
Você pode criar um load balancer que ouça tanto a porta HTTP (80) quanto a HTTPS (443). Se você especificar que o listener HTTPS envia solicitações para as instâncias na porta 80, o load balancer encerrará as solicitações e a comunicação para as instâncias não criptografadas. Se o listener HTTPS enviar solicitações para as instâncias na porta 443, a comunicação do load balancer para as instâncias será criptografada.
Se o load balancer usar uma conexão criptografada para se comunicar com as instâncias, você poderá também habilitar a autenticação das instâncias. Isso garante que o load balancer se comunique com uma instância somente se sua chave pública corresponder à chave especificada para o load balancer para essa finalidade.
Para obter informações sobre a adição de um listener HTTPS a um load balancer existente, consulte [Configurar um listener HTTPS para seu Classic Load Balancer](elb-add-or-delete-listeners.md).
**Topics**
+ [Pré-requisitos](#elb-https-ssl-prerequisites)
+ [Criar um balanceador de carga HTTPS usando o console](#create-https-lb-console)
+ [Crie um balanceador de carga HTTPS usando o AWS CLI](#create-https-lb-clt)
## Pré-requisitos
Antes de começar, certifique-se de que você atendeu aos seguintes pré-requisitos:
+ Siga as etapas em [Recomendações para sua VPC](elb-backend-instances.md#set-up-ec2).
+ Execute as instâncias EC2 que você planeja registrar com seu load balancer. Os security groups dessas instâncias devem permitir tráfego do load balancer.
+ As instâncias EC2 devem responder ao destino da verificação de integridade com um código de status HTTP 200. Para obter mais informações, consulte [Verificações de integridade para as instâncias do Classic Load Balancer](elb-healthchecks.md).
+ Se você pretende ativar a opção de keep-alive em suas instâncias EC2, recomendamos que você defina as configurações de keep-alive para, pelo menos, as configurações do tempo limite de inatividade do seu load balancer. Se você quiser garantir que o load balancer é responsável por fechar a conexões para sua instância, certifique-se de que o valor definido na sua instância para o tempo de keep-alive é maior do que a configuração de tempo limite de inatividade no load balancer. Para obter mais informações, consulte [Configurar o tempo limite de inatividade da conexão para seu Classic Load Balancer](config-idle-timeout.md).
+ Se você criar um listener seguro, deverá implantar um certificado de servidor SSL no load balancer. O load balancer usa o certificado para encerrar e, em seguida, descriptografar as solicitações antes de enviá-las para as instâncias. Se você não tiver um certificado SSL, pode criar um. Para obter mais informações, consulte [Certificados SSL/TLS para balanceadores de carga clássicos](ssl-server-cert.md).
## Criar um balanceador de carga HTTPS usando o console
Neste exemplo, você configura dois listeners para o load balancer. O primeiro listener aceita solicitações HTTP na porta 80 e as envia para as instâncias na porta 80 usando HTTP. O segundo listener aceita solicitações HTTPS na porta 443 e as envia para as instâncias usando HTTP na porta 80 (ou usando HTTPS na porta 443, se você deseja configurar a autenticação da instância back-end).
*Escuta* é um processo que verifica se há solicitações de conexão. Ele é pré-configurado com um protocolo e uma porta para conexões front-end (cliente para load balancer) e um protocolo e uma porta para conexões back-end (load balancer para instância). Para obter informações sobre configuração de portas, protocolos e listeners suportados pelo Elastic Load Balancing, consulte [Listeners para seu Classic Load Balancer](elb-listener-config.md).
**Como criar um Classic Load Balancer seguro usando o console**
1. Abra o console do Amazon EC2 em [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Na barra de navegação, escolha uma região para seu balanceador de carga. Certifique-se de selecionar a mesma região selecionada para suas instâncias do EC2.
1. No painel de navegação, em **Load Balancing** (Balanceamento de carga), escolha **Load balancers** (Balanceadores de carga).
1. Selecione **Criar load balancer**.
1. Expanda a seção **Classic Load Balancer** e escolha **Criar**.
1. **Configuração básica**
1. Em **Nome do balanceador de carga**, digite um nome para o balanceador de carga.
O nome de seu Classic Load Balancer deve ser exclusivo dentro de seu conjunto de Classic Load Balancers para a região. Ele pode ter no máximo 32 caracteres, pode conter apenas caracteres alfanuméricos e hifens e não deve iniciar nem terminar com hífen.
1. Para **Esquema**, selecione **Voltado para a Internet**.
1. **Mapeamento de rede**
1. Para **VPC**, selecione a mesma VPC que você selecionou para suas instâncias.
1. Para **Mapeamentos**, primeiro selecione uma zona de disponibilidade e escolha uma sub-rede pública entre as sub-redes disponíveis. Você pode selecionar somente uma sub-rede por zona de disponibilidade. Para melhorar a disponibilidade do seu balanceador de carga, selecione mais de uma zona de disponibilidade e sub-rede.
1. **Grupos de segurança**
1. Para **Grupos de segurança**, selecione um grupo de segurança existente que esteja configurado para permitir o tráfego HTTP necessário na porta 80 e o tráfego HTTPS na porta 443.
Se não existir um, você poderá criar um novo grupo de segurança com as regras necessárias.
1. **Receptores e roteamento**
1. Deixe o receptor padrão com as configurações padrão e selecione **Adicionar receptor**.
1. Para **Receptor** no novo receptor, selecione `HTTPS` como o protocolo, e a porta será atualizada para `443`. Por padrão, a **Instância** usa o protocolo `HTTP` na porta `80`.
1. Se a autenticação de back-end for necessária, altere o protocolo da **Instância** para `HTTPS`. Essa ação também atualizará a porta da **Instância** para `443`.
1. **Configurações seguras do receptor**
Ao usar HTTPS ou SSL para o listener front-end, você deverá implantar um certificado SSL no seu load balancer. O load balancer usa o certificado para encerrar a conexão e, em seguida, descriptografa solicitações dos clientes antes de enviá-las às instâncias. Você também deve especificar uma política de segurança. O Elastic Load Balancing fornece políticas de segurança que têm configurações de negociação SSL predefinidas, ou você pode criar a sua própria política de segurança personalizada. Se você configurou HTTPS/SSL na conexão de back-end, você pode habilitar a autenticação de suas instâncias.
1. Em **Política de segurança**, recomendamos que você sempre use a política de segurança predefinida mais recente ou crie uma personalizada. Consulte [Atualizar a configuração de negociação SSL](ssl-config-update.md#ssl-config-update-console).
1. Para ** SSL/TLS Certificado padrão**, as seguintes opções estão disponíveis:
+ Se você criou ou importou um certificado usando AWS Certificate Manager, selecione **Do ACM** e selecione o certificado em **Selecionar um certificado**.
+ Se você tiver importado um certificado usando IAM, selecione **Do IAM** e selecione seu certificado em **Selecionar um certificado**.
+ Se você tiver um certificado para importar, mas o ACM não estiver disponível na sua região, selecione **Importar** e selecione **Para o IAM**. Digite o nome do certificado no campo **Nome do certificado**. Em **Chave privada do certificado**, copie e cole o conteúdo do arquivo de chave privada (codificado por PEM). Em **Corpo do certificado**, copie e cole o conteúdo do arquivo do certificado de chave pública (codificado por PEM). Na **Cadeia de certificados**, copie e cole o conteúdo do arquivo da cadeia do certificado (codificado por PEM), exceto se estiver usando um certificado autoatribuído e se não for importante que os navegadores aceitem implicitamente o certificado.
1. (Opcional) Se você tiver configurado o receptor HTTPS para se comunicar com as instâncias usando uma conexão criptografada, poderá opcionalmente configurar a autenticação das instâncias em **Certificado de autenticação de back-end**.
**nota**
Se você não encontrar a seção **Certificado de autenticação de back-end**, volte para **Receptores e roteamento** e selecione `HTTPS` como o protocolo para **Instância**.
1. Em **Nome de certificado**, digite o nome do certificado de chave pública.
1. Em **Corpo do certificado (codificado por PEM)**, copie e cole o conteúdo do certificado. O load balancer se comunica com uma instância somente se sua chave pública corresponder a essa chave.
1. Para adicionar outro certificado, escolha **Adicionar novo certificado back-end**. O limite é de cinco.
1. **Verificações de integridade**
1. Na seção **Destino do ping**, selecione um **Protocolo de ping** e **Porta de ping**. Suas instâncias EC2 devem aceitar tráfego na porta de ping especificada.
1. Para **Porta de ping**, certifique-se de que a porta seja`80`.
1. Em **Caminho de ping**, substitua o valor padrão por uma barra simples (`/`). Isso diz ao Elastic Load Balancing para enviar solicitações de verificação de integridade para a página inicial padrão do seu servidor Web, como `index.html`.
1. Para **Configurações avançadas de verificação de integridade**, use os valores padrão.
1. **Instâncias**
1. Selecione **Adicionar instâncias** para abrir a tela de seleção de instâncias.
1. Em **Instâncias disponíveis**, você pode selecionar entre as instâncias atuais que estão disponíveis para o balanceador de carga, com base nas configurações de rede selecionadas anteriormente.
1. Quando estiver satisfeito com suas seleções, selecione **Confirmar** para adicionar ao balanceador de carga as instâncias a serem registradas.
1. **Atributos.**
1. Em **Habilitar balanceamento de carga entre zonas**, **Habilitar drenagem da conexão** e **Tempo limite (intervalo de drenagem)**, mantenha os valores padrão.
1. **Tags do balanceador de carga (opcional)**
1. O campo **Chave** é obrigatório.
1. O campo **Valor** é opcional.
1. Para adicionar outra tag, selecione **Adicionar nova tag**, insira seus valores no campo **Chave** e, opcionalmente, no campo **Valor**.
1. Para remover uma tag existente, selecione **Remover** ao lado da tag que você deseja remover.
1. **Resumo e criação**
1. Caso precies alterar alguma configuração, selecione **Editar** ao lado da configuração que precisa ser alterada.
1. Quando estiver satisfeito com as configurações mostradas no resumo, selecione **Criar balanceador de carga** para começar a criação do seu balanceador de carga.
1. Na página de criação final, selecione **Exibir balanceador de carga** para visualizar seu balanceador de carga no console do Amazon EC2.
1. **Verificar**
1. Selecione o novo load balancer.
1. Na guia **Instâncias de destino**, marque a coluna **Status de integridade**. Depois de pelo menos uma de suas instâncias EC2 estar **Em serviço**, você poderá testar seu balanceador de carga.
1. Na seção **Detalhes**, copie o **Nome DNS** dos balanceadores de carga, que seriam semelhantes a `my-load-balancer-1234567890.us-east-1.elb.amazonaws.com`.
1. Cole o **nome DNS** do seu balanceador de carga no campo de endereço de um navegador da Web conectado à Internet. Se o balanceador de carga estiver funcionando corretamente, você verá a página padrão do seu servidor.
1. **Excluir (opcional)**
1. Se você tiver um registro CNAME para seu domínio que aponta para o load balancer, aponte-o para um novo local e aguarde até que a mudança de DNS surta efeito antes de excluir seu load balancer.
1. Abra o console do Amazon EC2 em [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Selecione o load balancer.
1. Escolha **Ações**, **Excluir balanceador de carga**.
1. Quando a confirmação for solicitada, digite `confirm` e escolha **Delete**.
1. Depois de excluir um balanceador de carga, as instâncias do EC2 que foram registradas com o balanceador de carga continuam em execução. Você será cobrado por cada hora parcial ou completa em que eles continuarem sendo executados. Quando você não precisar mais de uma instância do EC2, poderá interrompê-la ou encerrá-la para evitar cobranças adicionais.
## Crie um balanceador de carga HTTPS usando o AWS CLI
Use as instruções a seguir para criar um balanceador de HTTPS/SSL carga usando o. AWS CLI
**Topics**
+ [Etapa 1: Configure os listeners](#configuring_listener_clt)
+ [Etapa 2: Configure a política de segurança SSL](#configure_ciphers_clt)
+ [Etapa 3: Configure a autenticação de instância backend (opcional)](#configure_backendauth_clt)
+ [Etapa 4: Configure as verificações de integridade (opcional)](#configure_healthcheck_clt)
+ [Etapa 5: Registre as instâncias do EC2](#add_ec2instances_clt)
+ [Etapa 6: Verifique as instâncias](#verify-ec2instances-clt)
+ [Etapa 7: Excluir o balanceador de carga (opcional)](#us-tearing-lb-cli)
### Etapa 1: Configure os listeners
*Escuta* é um processo que verifica se há solicitações de conexão. Ele é pré-configurado com um protocolo e uma porta para conexões front-end (cliente para load balancer) e um protocolo e uma porta para conexões back-end (load balancer para instância). Para obter informações sobre configuração de portas, protocolos e listeners suportados pelo Elastic Load Balancing, consulte [Listeners para seu Classic Load Balancer](elb-listener-config.md).
Neste exemplo, você configura dois listeners para seu load balancer especificando as portas e os protocolos a serem usados para conexões front-end e back-end. O primeiro listener aceita solicitações HTTP na porta 80 e as envia para as instâncias na porta 80 usando HTTP. O segundo listener solicitações HTTPS na porta 443 e envia solicitações para instâncias usando HTTP na porta 80.
Como o segundo listener usa HTTPS para a conexão front-end, você deve implantar um certificado de servidor SSL no seu load balancer. O load balancer usa o certificado para encerrar e, em seguida, descriptografar as solicitações antes de enviá-las para as instâncias.
**Para configurar listeners para o seu load balancer**
1. Obtenha o Nome de recurso da Amazon (ARN) do certificado SSL. Por exemplo:
**ACM**
```
arn:aws:acm:region:123456789012:certificate/12345678-1234-1234-1234-123456789012
```
**IAM**
```
arn:aws:iam::123456789012:server-certificate/my-server-certificate
```
1. Use o [create-load-balancer](https://docs.aws.amazon.com/cli/latest/reference/elb/create-load-balancer.html)comando a seguir para configurar o balanceador de carga com os dois ouvintes:
```
aws elb create-load-balancer --load-balancer-name my-load-balancer --listeners "Protocol=http,LoadBalancerPort=80,InstanceProtocol=http,InstancePort=80" "Protocol=https,LoadBalancerPort=443,InstanceProtocol=http,InstancePort=80,SSLCertificateId="ARN" --availability-zones us-west-2a
```
Esta é uma resposta de exemplo:
```
{
"DNSName": "my-loadbalancer-012345678.us-west-2.elb.amazonaws.com"
}
```
1. (Opcional) Use o [describe-load-balancers](https://docs.aws.amazon.com/cli/latest/reference/elb/describe-load-balancers.html)comando a seguir para ver os detalhes do seu balanceador de carga:
```
aws elb describe-load-balancers --load-balancer-name my-load-balancer
```
### Etapa 2: Configure a política de segurança SSL
Você pode selecionar uma das políticas de segurança predefinidas ou criar a sua própria política de segurança personalizada. Caso contrário, o Elastic Load Balancing configurará o balanceador de carga com a política de segurança predefinida padrão, `ELBSecurityPolicy-2016-08`. Para obter mais informações, consulte [Configurações de negociação SSL para balanceadores de carga clássicos](elb-ssl-security-policy.md).
**Para verificar se o seu load balancer está associado à política de segurança padrão**
Use o seguinte comando [describe-load-balancers](https://docs.aws.amazon.com/cli/latest/reference/elb/describe-load-balancers.html):
```
aws elb describe-load-balancers --load-balancer-name my-loadbalancer
```
O seguinte é um exemplo de resposta. Observe que `ELBSecurityPolicy-2016-08` está associado ao load balancer na porta 443.
```
{
"LoadBalancerDescriptions": [
{
...
"ListenerDescriptions": [
{
"Listener": {
"InstancePort": 80,
"SSLCertificateId": "ARN",
"LoadBalancerPort": 443,
"Protocol": "HTTPS",
"InstanceProtocol": "HTTP"
},
"PolicyNames": [
"ELBSecurityPolicy-2016-08"
]
},
{
"Listener": {
"InstancePort": 80,
"LoadBalancerPort": 80,
"Protocol": "HTTP",
"InstanceProtocol": "HTTP"
},
"PolicyNames": []
}
],
...
}
]
}
```
Se você preferir, você pode configurar a política de segurança de SSL para seu load balancer, em vez de usar a política de segurança padrão.
**(Opcional) para usar uma política de segurança SSL predefinida**
1. Use o [describe-load-balancer-policies](https://docs.aws.amazon.com/cli/latest/reference/elb/describe-load-balancer-policies.html)comando a seguir para listar os nomes das políticas de segurança predefinidas:
```
aws elb describe-load-balancer-policies
```
Para obter informações sobre a configuração das políticas de segurança predefinidas, consulte [Políticas de segurança SSL predefinidas para balanceadores de carga clássicos](elb-security-policy-table.md).
1. Use o [create-load-balancer-policy](https://docs.aws.amazon.com/cli/latest/reference/elb/create-load-balancer-policy.html)comando a seguir para criar uma política de negociação SSL usando uma das políticas de segurança predefinidas que você descreveu na etapa anterior:
```
aws elb create-load-balancer-policy --load-balancer-name my-loadbalancer
--policy-name my-SSLNegotiation-policy --policy-type-name SSLNegotiationPolicyType
--policy-attributes AttributeName=Reference-Security-Policy,AttributeValue=predefined-policy
```
1. (Opcional) Use o [describe-load-balancer-policies](https://docs.aws.amazon.com/cli/latest/reference/elb/describe-load-balancer-policies.html)comando a seguir para verificar se a política foi criada:
```
aws elb describe-load-balancer-policies --load-balancer-name my-loadbalancer --policy-name my-SSLNegotiation-policy
```
A resposta inclui a descrição da política.
1. Use o seguinte comando [set-load-balancer-policies-of-listener](https://docs.aws.amazon.com/cli/latest/reference/elb/set-load-balancer-policies-of-listener.html) para habilitar a política na porta 443 do balanceador de carga:
```
aws elb set-load-balancer-policies-of-listener --load-balancer-name my-loadbalancer --load-balancer-port 443 --policy-names my-SSLNegotiation-policy
```
**nota**
O comando `set-load-balancer-policies-of-listener` substitui o conjunto atual de políticas para a porta especificada do load balancer pelo conjunto de políticas especificado. A lista `--policy-names` deve incluir todas as políticas para ser habilitada. Se você pular uma política que atualmente está ativada, ela será desativada.
1. (Opcional) Use o [describe-load-balancers](https://docs.aws.amazon.com/cli/latest/reference/elb/describe-load-balancers.html)comando a seguir para verificar se a política está habilitada:
```
aws elb describe-load-balancers --load-balancer-name my-loadbalancer
```
Veja a seguir um exemplo de resposta mostrando que a política está habilitada na porta 443.
```
{
"LoadBalancerDescriptions": [
{
....
"ListenerDescriptions": [
{
"Listener": {
"InstancePort": 80,
"SSLCertificateId": "ARN",
"LoadBalancerPort": 443,
"Protocol": "HTTPS",
"InstanceProtocol": "HTTP"
},
"PolicyNames": [
"my-SSLNegotiation-policy"
]
},
{
"Listener": {
"InstancePort": 80,
"LoadBalancerPort": 80,
"Protocol": "HTTP",
"InstanceProtocol": "HTTP"
},
"PolicyNames": []
}
],
...
}
]
}
```
Quando você cria uma política de segurança personalizada, deve habilitar pelo menos um protocolo e uma cifra. Cifras DSA e RSA são específicas do algoritmo de assinatura e são usadas para criar o certificado SSL. Se você já tiver seu certificado SSL, ative a cifra que foi usada para criar seu certificado. O nome da sua política personalizada não deve começar com `ELBSecurityPolicy-` ou `ELBSample-`, pois esses prefixos são reservados para os nomes das políticas de segurança predefinidas.
**(Opcional) para usar uma política de segurança SSL personalizada**
1. Use o [create-load-balancer-policy](https://docs.aws.amazon.com/cli/latest/reference/elb/create-load-balancer-policy.html)comando para criar uma política de negociação SSL usando uma política de segurança personalizada. Por exemplo:
```
aws elb create-load-balancer-policy --load-balancer-name my-loadbalancer
--policy-name my-SSLNegotiation-policy --policy-type-name SSLNegotiationPolicyType
--policy-attributes AttributeName=Protocol-TLSv1.2,AttributeValue=true
AttributeName=Protocol-TLSv1.1,AttributeValue=true
AttributeName=DHE-RSA-AES256-SHA256,AttributeValue=true
AttributeName=Server-Defined-Cipher-Order,AttributeValue=true
```
1. (Opcional) Use o [describe-load-balancer-policies](https://docs.aws.amazon.com/cli/latest/reference/elb/describe-load-balancer-policies.html)comando a seguir para verificar se a política foi criada:
```
aws elb describe-load-balancer-policies --load-balancer-name my-loadbalancer --policy-name my-SSLNegotiation-policy
```
A resposta inclui a descrição da política.
1. Use o seguinte comando [set-load-balancer-policies-of-listener](https://docs.aws.amazon.com/cli/latest/reference/elb/set-load-balancer-policies-of-listener.html) para habilitar a política na porta 443 do balanceador de carga:
```
aws elb set-load-balancer-policies-of-listener --load-balancer-name my-loadbalancer --load-balancer-port 443 --policy-names my-SSLNegotiation-policy
```
**nota**
O comando `set-load-balancer-policies-of-listener` substitui o conjunto atual de políticas para a porta especificada do load balancer pelo conjunto de políticas especificado. A lista `--policy-names` deve incluir todas as políticas para ser habilitada. Se você pular uma política que atualmente está ativada, ela será desativada.
1. (Opcional) Use o [describe-load-balancers](https://docs.aws.amazon.com/cli/latest/reference/elb/describe-load-balancers.html)comando a seguir para verificar se a política está habilitada:
```
aws elb describe-load-balancers --load-balancer-name my-loadbalancer
```
Veja a seguir um exemplo de resposta mostrando que a política está habilitada na porta 443.
```
{
"LoadBalancerDescriptions": [
{
....
"ListenerDescriptions": [
{
"Listener": {
"InstancePort": 80,
"SSLCertificateId": "ARN",
"LoadBalancerPort": 443,
"Protocol": "HTTPS",
"InstanceProtocol": "HTTP"
},
"PolicyNames": [
"my-SSLNegotiation-policy"
]
},
{
"Listener": {
"InstancePort": 80,
"LoadBalancerPort": 80,
"Protocol": "HTTP",
"InstanceProtocol": "HTTP"
},
"PolicyNames": []
}
],
...
}
]
}
```
### Etapa 3: Configure a autenticação de instância backend (opcional)
Se você configurar a conexão HTTPS/SSL de back-end, poderá, opcionalmente, configurar a autenticação de suas instâncias.
Quando você configura a autenticação de instância back-end, cria uma política de chave pública. Em seguida, você usa essa política de chave pública para criar uma política de autenticação de instância back-end. Por fim, você define a política de autenticação de instância back-end com a porta da instância para o protocolo HTTPS.
O load balancer se comunica com uma instância somente se a chave pública que a instância apresenta ao load balancer corresponder a uma chave pública na política de autenticação do seu load balancer.
**Para configurar a autenticação da instância back-end**
1. Use o comando a seguir para recuperar a chave pública:
```
openssl x509 -in your X509 certificate PublicKey -pubkey -noout
```
1. Use o [create-load-balancer-policy](https://docs.aws.amazon.com/cli/latest/reference/elb/create-load-balancer-policy.html)comando a seguir para criar uma política de chave pública:
```
aws elb create-load-balancer-policy --load-balancer-name my-loadbalancer --policy-name my-PublicKey-policy \
--policy-type-name PublicKeyPolicyType --policy-attributes AttributeName=PublicKey,AttributeValue=MIICiTCCAfICCQD6m7oRw0uXOjANBgkqhkiG9w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```
**nota**
Para especificar um valor de chave pública para `--policy-attributes`, remova a primeira e a última linha da chave pública (a linha que contém "`-----BEGIN PUBLIC KEY-----`" e a linha que contém "`-----END PUBLIC KEY-----`"). O AWS CLI não aceita caracteres de espaço em branco em`--policy-attributes`.
1. Use o [create-load-balancer-policy](https://docs.aws.amazon.com/cli/latest/reference/elb/create-load-balancer-policy.html)comando a seguir para criar uma política de autenticação de instância de back-end usando. `my-PublicKey-policy`
```
aws elb create-load-balancer-policy --load-balancer-name my-loadbalancer --policy-name my-authentication-policy --policy-type-name BackendServerAuthenticationPolicyType --policy-attributes AttributeName=PublicKeyPolicyName,AttributeValue=my-PublicKey-policy
```
Você também pode usar várias políticas de chave pública. O load balancer tenta todas as chaves, uma de cada vez. Se a chave pública apresentada por uma instância corresponder a uma dessas chaves públicas, a instância será autenticada.
1. Use o for-backend-server comando a seguir [set-load-balancer-policies-](https://docs.aws.amazon.com/cli/latest/reference/elb/set-load-balancer-policies-for-backend-server.html) para definir `my-authentication-policy` a porta da instância para HTTPS. Neste exemplo, a porta da instância é 443.
```
aws elb set-load-balancer-policies-for-backend-server --load-balancer-name my-loadbalancer --instance-port 443 --policy-names my-authentication-policy
```
1. (Opcional) Use o [describe-load-balancer-policies](https://docs.aws.amazon.com/cli/latest/reference/elb/describe-load-balancer-policies.html)comando a seguir para listar todas as políticas do seu balanceador de carga:
```
aws elb describe-load-balancer-policies --load-balancer-name my-loadbalancer
```
1. (Opcional) Use o [describe-load-balancer-policies](https://docs.aws.amazon.com/cli/latest/reference/elb/describe-load-balancer-policies.html)comando a seguir para ver detalhes da política:
```
aws elb describe-load-balancer-policies --load-balancer-name my-loadbalancer --policy-names my-authentication-policy
```
### Etapa 4: Configure as verificações de integridade (opcional)
O Elastic Load Balancing verifica regularmente a integridade de cada instância do EC2 registrada com base nas verificações de integridade que você configurou. Caso o Elastic Load Balancing encontre uma instância não íntegra, ele interromperá o envio de tráfego para a instância e roteará o tráfego para instâncias íntegras. Para obter mais informações, consulte [Verificações de integridade para as instâncias do Classic Load Balancer](elb-healthchecks.md).
Quando você cria seu balanceador de carga, o Elastic Load Balancing usa as configurações padrão para as verificações de integridade. Se preferir, você pode alterar a configuração da verificação de integridade do seu load balancer em vez de usar as configurações padrão.
**Para configurar as verificações de integridade das suas instâncias**
Use o seguinte comando [configure-health-check](https://docs.aws.amazon.com/cli/latest/reference/elb/configure-health-check.html):
```
aws elb configure-health-check --load-balancer-name my-loadbalancer --health-check Target=HTTP:80/ping,Interval=30,UnhealthyThreshold=2,HealthyThreshold=2,Timeout=3
```
Esta é uma resposta de exemplo:
```
{
"HealthCheck": {
"HealthyThreshold": 2,
"Interval": 30,
"Target": "HTTP:80/ping",
"Timeout": 3,
"UnhealthyThreshold": 2
}
}
```
### Etapa 5: Registre as instâncias do EC2
Depois de criar seu load balancer, você deve registrar suas instâncias EC2 no load balancer. Você pode selecionar as instâncias do EC2 de uma única zona de disponibilidade ou de várias zonas de disponibilidade dentro da mesma região do balanceador de carga. Para obter mais informações, consulte [Instâncias registradas para seu Classic Load Balancer](elb-backend-instances.md).
Use o comando [register-instances-with-load-balancer](https://docs.aws.amazon.com/cli/latest/reference/elb/register-instances-with-load-balancer.html) da seguinte forma:
```
aws elb register-instances-with-load-balancer --load-balancer-name my-loadbalancer --instances i-4f8cf126 i-0bb7ca62
```
Esta é uma resposta de exemplo:
```
{
"Instances": [
{
"InstanceId": "i-4f8cf126"
},
{
"InstanceId": "i-0bb7ca62"
}
]
}
```
### Etapa 6: Verifique as instâncias
O load balancer é utilizável assim que qualquer uma de suas instâncias registradas estiver no estado `InService`.
Para verificar o estado de suas instâncias EC2 recém-registradas, use o seguinte [describe-instance-health](https://docs.aws.amazon.com/cli/latest/reference/elb/describe-instance-health.html)comando:
```
aws elb describe-instance-health --load-balancer-name my-loadbalancer --instances i-4f8cf126 i-0bb7ca62
```
Esta é uma resposta de exemplo:
```
{
"InstanceStates": [
{
"InstanceId": "i-4f8cf126",
"ReasonCode": "N/A",
"State": "InService",
"Description": "N/A"
},
{
"InstanceId": "i-0bb7ca62",
"ReasonCode": "Instance",
"State": "OutOfService",
"Description": "Instance registration is still in progress"
}
]
}
```
Se o campo `State` de uma instância for `OutOfService`, talvez seja porque suas instâncias ainda estão sendo registradas. Para obter mais informações, consulte [Solução dos problemas de um Classic Load Balancer: registro de instância](ts-elb-register-instance.md).
Após o estado de pelo menos uma de suas instâncias ser `InService`, você poderá testar seu load balancer. Para testar seu balanceador de carga, copie o nome DNS do balanceador de carga e cole-o no campo de endereço de um navegador da Web conectado à Internet. Se o load balancer estiver trabalhando, consulte a página padrão do seu servidor HTTP.
### Etapa 7: Excluir o balanceador de carga (opcional)
A exclusão de um load balancer cancela automaticamente o registro das instâncias EC2 associadas. Assim que o load balancer for excluído, as cobranças desse load balancer será interrompida. No entanto, as instâncias EC2 continuam a rodar e você continuará a ser cobrado.
Para excluir seu balanceador de carga, use o seguinte [delete-load-balancer](https://docs.aws.amazon.com/cli/latest/reference/elb/delete-load-balancer.html)comando:
```
aws elb delete-load-balancer --load-balancer-name my-loadbalancer
```
Para interromper suas instâncias EC2, use o comando [stop-instances](https://docs.aws.amazon.com/cli/latest/reference/ec2/stop-instances.html). Para encerrar suas instâncias EC2, use o comando [terminate-instances](https://docs.aws.amazon.com/cli/latest/reference/ec2/terminate-instances.html).
# Configurar um listener HTTPS para seu Classic Load Balancer
*Escuta* é um processo que verifica se há solicitações de conexão. Ele é pré-configurado com um protocolo e uma porta para conexões front-end (cliente para load balancer) e um protocolo e uma porta para conexões back-end (load balancer para instância). Para obter informações sobre configuração de portas, protocolos e listeners suportados pelo Elastic Load Balancing, consulte [Listeners para seu Classic Load Balancer](elb-listener-config.md).
Se você tiver um load balancer com um listener que aceita solicitações HTTP na porta 80, pode adicionar um listener que aceite solicitações HTTPS na porta 443. Se você especificar que o listener HTTPS envia solicitações para as instâncias na porta 80, o load balancer encerrará as solicitações SSL e a comunicação para as instâncias não criptografadas. Se o listener HTTPS enviar solicitações para as instâncias na porta 443, a comunicação do load balancer para as instâncias será criptografada.
Se o load balancer usar uma conexão criptografada para se comunicar com as instâncias, você poderá também habilitar a autenticação das instâncias. Isso garante que o load balancer se comunique com uma instância somente se sua chave pública corresponder à chave especificada para o load balancer para essa finalidade.
Para obter informações sobre a criação do novo listener HTTPS, consulte [Criar um Classic Load Balancer com um listener HTTPS](elb-create-https-ssl-load-balancer.md).
**Topics**
+ [Pré-requisitos](#add-listener-prerequisites)
+ [Adicionar um listener HTTPS usando o console](#add-listener-console)
+ [Adicione um ouvinte HTTPS usando o AWS CLI](#add-listener-cli)
## Pré-requisitos
Para ativar o suporte HTTPS para um listener HTTPS, você deve implantar um certificado de servidor SSL no seu load balancer. O load balancer usa o certificado para encerrar e, em seguida, descriptografar as solicitações antes de enviá-las para as instâncias. Se você não tiver um certificado SSL, pode criar um. Para obter mais informações, consulte [Certificados SSL/TLS para balanceadores de carga clássicos](ssl-server-cert.md).
## Adicionar um listener HTTPS usando o console
Você pode adicionar um listener HTTPS a um load balancer existente.
**Como adicionar um receptor HTTPS ao balanceador de carga usando o console**
1. Abra o console do Amazon EC2 em [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. No painel de navegação, em **Load Balancing** (Balanceamento de carga), escolha **Load balancers** (Balanceadores de carga).
1. Escolha o nome do balanceador de carga para abrir sua página de detalhes.
1. Na guia **Receptores**, escolha **Gerenciar receptores**.
1. Na página **Gerenciar receptores**, na seção **Receptores**, escolha **Adicionar receptor**.
1. Para **Protocolo receptor**, selecione **HTTPS**.
**Importante**
Por padrão, o **protocolo da instância** é HTTP. Se você quiser configurar a autenticação da instância de back-end, altere o **Protocolo da instância** para HTTPS.
1. Em **Política de segurança**, recomendamos que você use a política de segurança predefinida mais recente. Se você precisar usar uma outra política de segurança predefinida ou criar uma política personalizada, consulte [Atualizar a configuração de negociação SSL](ssl-config-update.md#ssl-config-update-console).
1. Em **Certificado SSL padrão**, escolha **Editar** e execute uma das seguintes ações:
+ Se você criou ou importou um certificado usando AWS Certificate Manager, escolha **Do ACM**, selecione o certificado na lista e escolha **Salvar alterações**.
**nota**
Essa opção estará disponível apenas em regiões que suportam o AWS Certificate Manager.
+ Se você tiver importado um certificado usando IAM, selecione **Do IAM**, selecione o certificado na lista e escolha **Salvar alterações**.
+ Se você tiver um certificado SSL para importar para o ACM, selecione **Importar** e **Para o ACM**. Em **Chave privada do certificado**, copie e cole o conteúdo do arquivo de chave privada codificado por PEM. Em **Corpo do certificado**, copie e cole o conteúdo do arquivo do certificado de chave pública codificado por PEM. Em **Cadeia de certificados (opcional)**, copie e cole o conteúdo do arquivo da cadeia de certificados codificado por PEM, exceto se estiver usando um certificado autoassinado e se não for importante que os navegadores aceitem implicitamente o certificado.
+ Se você tiver um certificado SSL para importar, mas não houver suporte ao ACM nessa região, selecione **Importar** e **Para o IAM**. Em**Nome do certificado**, digite o nome do certificado. Em **Chave privada do certificado**, copie e cole o conteúdo do arquivo de chave privada codificado por PEM. Em **Corpo do certificado**, copie e cole o conteúdo do arquivo do certificado de chave pública codificado por PEM. Em **Cadeia de certificados (opcional)**, copie e cole o conteúdo do arquivo da cadeia de certificados codificado por PEM, exceto se estiver usando um certificado autoassinado e se não for importante que os navegadores aceitem implicitamente o certificado.
+ Escolha **Salvar alterações**.
1. Para a **Durabilidade do cookie**, o padrão é **Desabilitado**. Para alterar, escolha **Editar**. Se escolher **Gerado pelo balanceador de carga**, um **Período de expiração** deverá ser especificado. Caso escolha **Gerado pela aplicação**, um **Nome de cookie** deverá ser especificado. Depois de selecionar, escolha **Salvar alterações**.
1. (Opcional) Escolha **Adicionar receptor** para adicionar mais receptores.
1. Escolha **Salvar alterações** para adicionar os receptores que você acabou de configurar.
1. (Opcional) Para configurar a autenticação de instância de back-end para um balanceador de carga existente, você deve usar o AWS CLI ou uma API, pois essa tarefa não é compatível com o console. Para obter mais informações, consulte [Configurar autenticação de instância back-end](elb-create-https-ssl-load-balancer.md#configure_backendauth_clt).
## Adicione um ouvinte HTTPS usando o AWS CLI
Você pode adicionar um listener HTTPS a um load balancer existente.
**Para adicionar um ouvinte HTTPS ao seu balanceador de carga usando o AWS CLI**
1. Obtenha o Nome de recurso da Amazon (ARN) do certificado SSL. Por exemplo:
**ACM**
```
arn:aws:acm:region:123456789012:certificate/12345678-1234-1234-1234-123456789012
```
**IAM**
```
arn:aws:iam::123456789012:server-certificate/my-server-certificate
```
1. Use o [create-load-balancer-listeners](https://docs.aws.amazon.com/cli/latest/reference/elb/create-load-balancer-listeners.html)comando a seguir para adicionar um ouvinte ao seu balanceador de carga que aceita solicitações HTTPS na porta 443 e envia as solicitações para as instâncias na porta 80 usando HTTP:
```
aws elb create-load-balancer-listeners --load-balancer-name my-load-balancer --listeners Protocol=HTTPS,LoadBalancerPort=443,InstanceProtocol=HTTP,InstancePort=80,SSLCertificateId=ARN
```
Se você deseja configurar a autenticação de instâncias back-end, use o comando a seguir para adicionar um listener que aceite solicitações HTTPS na porta 443 e envie as solicitações para as instâncias na porta 443 usando HTTPS:
```
aws elb create-load-balancer-listeners --load-balancer-name my-load-balancer --listeners Protocol=HTTPS,LoadBalancerPort=443,InstanceProtocol=HTTPS,InstancePort=443,SSLCertificateId=ARN
```
1. (Opcional) Você pode usar o [describe-load-balancers](https://docs.aws.amazon.com/cli/latest/reference/elb/describe-load-balancers.html)comando a seguir para ver os detalhes atualizados do seu balanceador de carga:
```
aws elb describe-load-balancers --load-balancer-name my-load-balancer
```
Esta é uma resposta de exemplo:
```
{
"LoadBalancerDescriptions": [
{
...
"ListenerDescriptions": [
{
"Listener": {
"InstancePort": 80,
"SSLCertificateId": "ARN",
"LoadBalancerPort": 443,
"Protocol": "HTTPS",
"InstanceProtocol": "HTTP"
},
"PolicyNames": [
"ELBSecurityPolicy-2016-08"
]
},
{
"Listener": {
"InstancePort": 80,
"LoadBalancerPort": 80,
"Protocol": "HTTP",
"InstanceProtocol": "HTTP"
},
"PolicyNames": []
}
],
...
}
]
}
```
1. (Opcional) Seu listener HTTPS foi criado usando a política de segurança padrão. Se você quiser especificar uma política de segurança predefinida diferente ou uma política de segurança personalizada, use os comandos [create-load-balancer-policy](https://docs.aws.amazon.com/cli/latest/reference/elb/create-load-balancer-policy.html)e [set-load-balancer-policies-of-listener](https://docs.aws.amazon.com/cli/latest/reference/elb/set-load-balancer-policies-of-listener.html). Para obter mais informações, consulte [Atualize a configuração de negociação SSL usando o AWS CLI](ssl-config-update.md#ssl-config-update-cli).
1. (Opcional) Para configurar a autenticação da instância de back-end, use o comando [set-load-balancer-policies- for-backend-server](https://docs.aws.amazon.com/cli/latest/reference/elb/set-load-balancer-policies-for-backend-server.html). Para obter mais informações, consulte [Configurar autenticação de instância back-end](elb-create-https-ssl-load-balancer.md#configure_backendauth_clt).
# Substituir o certificado SSL do seu Classic Load Balancer
Se você tiver um listener HTTPS, significa que implantou um certificado de servidor SSL no load balancer quando criou o listener. Cada certificado vem com um período de validade. Você deve garantir que renovou ou substituiu o certificado antes do fim do período de validade.
Os certificados fornecidos AWS Certificate Manager e implantados em seu balanceador de carga podem ser renovados automaticamente. O ACM tenta renovar os certificados antes que eles expirem. Para obter mais informações, consulte [Renovação gerenciada](https://docs.aws.amazon.com/acm/latest/userguide/managed-renewal.html) no *Guia do usuário do AWS Certificate Manager *. Se você tiver importado um certificado no ACM, deverá monitorar a data de validade do certificado e renová-lo antes que expire. Para obter mais informações, consulte [Importar certificados](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate.html) no *Manual do usuário do AWS Certificate Manager *. Depois que um certificado implantado no load balancer for renovado, as novas solicitações usarão o certificado renovado.
Para substituir um certificado, você deve primeiro criar um novo certificado seguindo as mesmas etapas usadas ao criar o certificado atual. Depois você pode substituir o certificado. Depois que um certificado implantado no load balancer ser substituído, as novas solicitações usarão o novo certificado.
Observe que renovar ou substituir um certificado não afeta as solicitações já recebidas por um nó do load balancer e são pendentes de roteamento para um destino íntegro.
**Topics**
+ [Substituir o certificado SSL usando o console](#us-update-lb-SSLcert-console)
+ [Substitua o certificado SSL usando o AWS CLI](#us-update-lb-SSLcert-cli)
## Substituir o certificado SSL usando o console
Você pode substituir o certificado implantado no seu balanceador de carga por um certificado fornecido pelo ACM ou por um certificado carregado no IAM.
**Como substituir o certificado SSL para um balanceador de carga HTTPS usando o console**
1. Abra o console do Amazon EC2 em [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. No painel de navegação, em **Load Balancing** (Balanceamento de carga), escolha **Load balancers** (Balanceadores de carga).
1. Escolha o nome do balanceador de carga para abrir sua página de detalhes.
1. Na guia **Receptores**, escolha **Gerenciar receptores**.
1. Na página **Gerenciar receptores**, localize o receptor a ser atualizado, escolha **Editar** em **Certificado SSL padrão** e faça o seguinte:
+ Se você criou ou importou um certificado usando AWS Certificate Manager, escolha **Do ACM**, selecione o certificado na lista e escolha **Salvar alterações**.
**nota**
Essa opção estará disponível apenas em regiões que suportam o AWS Certificate Manager.
+ Se você tiver importado um certificado usando IAM, selecione **Do IAM**, selecione o certificado na lista e escolha **Salvar alterações**.
+ Se você tiver um certificado SSL para importar para o ACM, selecione **Importar** e **Para o ACM**. Em **Chave privada do certificado**, copie e cole o conteúdo do arquivo de chave privada codificado por PEM. Em **Corpo do certificado**, copie e cole o conteúdo do arquivo do certificado de chave pública codificado por PEM. Em **Cadeia de certificados (opcional)**, copie e cole o conteúdo do arquivo da cadeia de certificados codificado por PEM, exceto se estiver usando um certificado autoassinado e se não for importante que os navegadores aceitem implicitamente o certificado.
+ Se você tiver um certificado SSL para importar, mas não houver suporte ao ACM nessa região, selecione **Importar** e **Para o IAM**. Em**Nome do certificado**, digite o nome do certificado. Em **Chave privada do certificado**, copie e cole o conteúdo do arquivo de chave privada codificado por PEM. Em **Corpo do certificado**, copie e cole o conteúdo do arquivo do certificado de chave pública codificado por PEM. Em **Cadeia de certificados (opcional)**, copie e cole o conteúdo do arquivo da cadeia de certificados codificado por PEM, exceto se estiver usando um certificado autoassinado e se não for importante que os navegadores aceitem implicitamente o certificado.
+ Escolha **Salvar alterações**.
## Substitua o certificado SSL usando o AWS CLI
Você pode substituir o certificado implantado no seu balanceador de carga por um certificado fornecido pelo ACM ou por um certificado carregado no IAM.
**Para substituir um certificado SSL por um certificado fornecido pelo ACM**
1. Use o comando [request-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm/request-certificate.html) para solicitar um novo certificado:
```
aws acm request-certificate --domain-name www.example.com
```
1. Use o seguinte comando [set-load-balancer-listener-ssl-certificate](https://docs.aws.amazon.com/cli/latest/reference/elb/set-load-balancer-listener-ssl-certificate.html) para definir o certificado:
```
aws elb set-load-balancer-listener-ssl-certificate --load-balancer-name my-load-balancer --load-balancer-port 443 --ssl-certificate-id arn:aws:acm:region:123456789012:certificate/12345678-1234-1234-1234-123456789012
```
**Para substituir um certificado SSL por um certificado carregado no IAM**
1. Se você tiver um certificado SSL, mas não o carregou, consulte [Carregar um certificado do servidor](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_server-certs.html#upload-server-certificate) no *Manual do usuário do IAM*.
1. Use o [get-server-certificate](https://docs.aws.amazon.com/cli/latest/reference/iam/get-server-certificate.html)comando a seguir para obter o ARN do certificado:
```
aws iam get-server-certificate --server-certificate-name my-new-certificate
```
1. Use o seguinte comando [set-load-balancer-listener-ssl-certificate](https://docs.aws.amazon.com/cli/latest/reference/elb/set-load-balancer-listener-ssl-certificate.html) para definir o certificado:
```
aws elb set-load-balancer-listener-ssl-certificate --load-balancer-name my-load-balancer --load-balancer-port 443 --ssl-certificate-id arn:aws:iam::123456789012:server-certificate/my-new-certificate
```
# Atualizar a configuração de negociação SSL do seu Classic Load Balancer
O Elastic Load Balancing fornece políticas de segurança que têm configurações de negociação SSL predefinidas para serem usadas na negociação de conexões SSL entre os clientes e o seu balanceador de carga. Se você estiver usando o HTTPS/SSL protocolo para seu ouvinte, poderá usar uma das políticas de segurança predefinidas ou usar sua própria política de segurança personalizada.
Para obter mais informações sobre as políticas de segurança, consulte [Configurações de negociação SSL para balanceadores de carga clássicos](elb-ssl-security-policy.md). Para obter informações sobre as configurações das políticas de segurança fornecidas pelo Elastic Load Balancing, consulte [Políticas de segurança SSL predefinidas para balanceadores de carga clássicos](elb-security-policy-table.md).
Se você criar um HTTPS/SSL ouvinte sem associar uma política de segurança, o Elastic Load Balancing associará a política de segurança predefinida padrão`ELBSecurityPolicy-2016-08`,, ao seu load balancer.
Se você preferir, pode criar uma configuração personalizada. Recomendamos enfaticamente que você teste a política de segurança antes de atualizar a configuração do balanceador de carga.
Os exemplos a seguir mostram como atualizar a configuração de negociação SSL para um HTTPS/SSL ouvinte. Observe que a alteração não afeta as solicitações recebidas por um nó do load balancer e são pendentes de roteamento para uma instância íntegra, mas a configuração atualizada será usada com as novas solicitações recebidas.
**Topics**
+ [Atualizar a configuração da negociação SSL usando o console](#ssl-config-update-console)
+ [Atualize a configuração de negociação SSL usando o AWS CLI](#ssl-config-update-cli)
## Atualizar a configuração da negociação SSL usando o console
Por padrão, o Elastic Load Balancing associa a política predefinida mais recente a seu balanceador de carga. Quando uma nova política predefinida é adicionada, recomendamos que você atualize o load balancer para usar a nova política predefinida. Você também pode selecionar uma política de segurança predefinida diferente ou criar uma política personalizada.
**Para atualizar a configuração de negociação SSL para um balanceador de HTTPS/SSL carga usando o console**
1. Abra o console do Amazon EC2 em [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. No painel de navegação, em **Load Balancing** (Balanceamento de carga), escolha **Load balancers** (Balanceadores de carga).
1. Escolha o nome do balanceador de carga para abrir sua página de detalhes.
1. Na guia **Receptores**, escolha **Gerenciar receptores**.
1. Na página **Gerenciar receptores**, localize o receptor a ser atualizado, escolha **Editar** em **Política de segurança** e selecione uma política de segurança usando uma das seguintes opções:
+ **Mantenha a política padrão, **ELBSecurityPolicy-2016-08**, e escolha Salvar alterações.**
+ Selecione uma política predefinida diferente do padrão e escolha **Salvar alterações**.
+ Selecione **Personalizar** e habilite pelo menos um protocolo e uma cifra, da seguinte forma:
1. Em **Protocolos SSL**, selecione um ou mais protocolos para habilitar.
1. Em **Opções SSL**, selecione **Preferência de ordem de servidor** para usar a ordem listada na [Políticas de segurança SSL predefinidas para balanceadores de carga clássicos](elb-security-policy-table.md) para negociação SSL.
1. Em **Cifras SSL**, selecione uma ou mais cifras para habilitar. Se você já tiver um certificado SSL, deverá habilitar a cifra usada para criar o certificado, pois as cifras DSA e RSA são específicas do algoritmo de assinatura.
1. Escolha **Salvar alterações**.
## Atualize a configuração de negociação SSL usando o AWS CLI
Você pode usar a política de segurança predefinida padrão, `ELBSecurityPolicy-2016-08`, uma política de segurança predefinida diferente ou uma política de segurança personalizada.
**Para usar uma política de segurança SSL predefinida**
1. Use o [describe-load-balancer-policies](https://docs.aws.amazon.com/cli/latest/reference/elb/describe-load-balancer-policies.html)comando a seguir para listar as políticas de segurança predefinidas fornecidas pelo Elastic Load Balancing. A sintaxe a ser usada dependerá do sistema operacional e do shell em uso.
**Linux**
```
aws elb describe-load-balancer-policies --query 'PolicyDescriptions[?PolicyTypeName==`SSLNegotiationPolicyType`].{PolicyName:PolicyName}' --output table
```
**Windows**
```
aws elb describe-load-balancer-policies --query "PolicyDescriptions[?PolicyTypeName==`SSLNegotiationPolicyType`].{PolicyName:PolicyName}" --output table
```
A seguir está um exemplo de saída:
```
------------------------------------------
| DescribeLoadBalancerPolicies |
+----------------------------------------+
| PolicyName |
+----------------------------------------+
| ELBSecurityPolicy-2016-08 |
| ELBSecurityPolicy-TLS-1-2-2017-01 |
| ELBSecurityPolicy-TLS-1-1-2017-01 |
| ELBSecurityPolicy-2015-05 |
| ELBSecurityPolicy-2015-03 |
| ELBSecurityPolicy-2015-02 |
| ELBSecurityPolicy-2014-10 |
| ELBSecurityPolicy-2014-01 |
| ELBSecurityPolicy-2011-08 |
| ELBSample-ELBDefaultCipherPolicy |
| ELBSample-OpenSSLDefaultCipherPolicy |
+----------------------------------------+
```
Para determinar quais cifras estão habilitadas para uma política, use o seguinte comando:
```
aws elb describe-load-balancer-policies --policy-names ELBSecurityPolicy-2016-08 --output table
```
Para obter informações sobre a configuração das políticas de segurança predefinidas, consulte [Políticas de segurança SSL predefinidas para balanceadores de carga clássicos](elb-security-policy-table.md).
1. Use o [create-load-balancer-policy](https://docs.aws.amazon.com/cli/latest/reference/elb/create-load-balancer-policy.html)comando para criar uma política de negociação SSL usando uma das políticas de segurança predefinidas que você descreveu na etapa anterior. Por exemplo, o comando a seguir usa a política de segurança predefinida padrão:
```
aws elb create-load-balancer-policy --load-balancer-name my-loadbalancer
--policy-name my-SSLNegotiation-policy --policy-type-name SSLNegotiationPolicyType
--policy-attributes AttributeName=Reference-Security-Policy,AttributeValue=ELBSecurityPolicy-2016-08
```
Se você exceder o limite do número de políticas para o balanceador de carga, use o [delete-load-balancer-policy](https://docs.aws.amazon.com/cli/latest/reference/elb/delete-load-balancer-policy.html)comando para excluir as políticas não utilizadas.
1. (Opcional) Use o [describe-load-balancer-policies](https://docs.aws.amazon.com/cli/latest/reference/elb/describe-load-balancer-policies.html)comando a seguir para verificar se a política foi criada:
```
aws elb describe-load-balancer-policies --load-balancer-name my-loadbalancer --policy-name my-SSLNegotiation-policy
```
A resposta inclui a descrição da política.
1. Use o seguinte comando [set-load-balancer-policies-of-listener](https://docs.aws.amazon.com/cli/latest/reference/elb/set-load-balancer-policies-of-listener.html) para habilitar a política na porta 443 do balanceador de carga:
```
aws elb set-load-balancer-policies-of-listener --load-balancer-name my-loadbalancer --load-balancer-port 443 --policy-names my-SSLNegotiation-policy
```
**nota**
O comando `set-load-balancer-policies-of-listener` substitui o conjunto atual de políticas para a porta especificada do load balancer pelo conjunto de políticas especificado. A lista `--policy-names` deve incluir todas as políticas para ser habilitada. Se você pular uma política que atualmente está ativada, ela será desativada.
1. (Opcional) Use o [describe-load-balancers](https://docs.aws.amazon.com/cli/latest/reference/elb/describe-load-balancers.html)comando a seguir para verificar se a nova política está habilitada para a porta do balanceador de carga:
```
aws elb describe-load-balancers --load-balancer-name my-loadbalancer
```
A resposta mostra que a política está habilitada na porta 443.
```
...
{
"Listener": {
"InstancePort": 443,
"SSLCertificateId": "ARN",
"LoadBalancerPort": 443,
"Protocol": "HTTPS",
"InstanceProtocol": "HTTPS"
},
"PolicyNames": [
"my-SSLNegotiation-policy"
]
}
...
```
Quando você cria uma política de segurança personalizada, deve habilitar pelo menos um protocolo e uma cifra. Cifras DSA e RSA são específicas do algoritmo de assinatura e são usadas para criar o certificado SSL. Se você já tiver um certificado SSL, ative a cifra que foi usada para criar o certificado. O nome da sua política personalizada não deve começar com `ELBSecurityPolicy-` ou `ELBSample-`, pois esses prefixos são reservados para os nomes das políticas de segurança predefinidas.
**Para usar uma política de segurança SSL personalizada**
1. Use o [create-load-balancer-policy](https://docs.aws.amazon.com/cli/latest/reference/elb/create-load-balancer-policy.html)comando para criar uma política de negociação SSL usando uma política de segurança personalizada. Por exemplo:
```
aws elb create-load-balancer-policy --load-balancer-name my-loadbalancer
--policy-name my-SSLNegotiation-policy --policy-type-name SSLNegotiationPolicyType
--policy-attributes AttributeName=Protocol-TLSv1.2,AttributeValue=true
AttributeName=Protocol-TLSv1.1,AttributeValue=true
AttributeName=DHE-RSA-AES256-SHA256,AttributeValue=true
AttributeName=Server-Defined-Cipher-Order,AttributeValue=true
```
Se você exceder o limite do número de políticas para o balanceador de carga, use o [delete-load-balancer-policy](https://docs.aws.amazon.com/cli/latest/reference/elb/delete-load-balancer-policy.html)comando para excluir as políticas não utilizadas.
1. (Opcional) Use o [describe-load-balancer-policies](https://docs.aws.amazon.com/cli/latest/reference/elb/describe-load-balancer-policies.html)comando a seguir para verificar se a política foi criada:
```
aws elb describe-load-balancer-policies --load-balancer-name my-loadbalancer --policy-name my-SSLNegotiation-policy
```
A resposta inclui a descrição da política.
1. Use o seguinte comando [set-load-balancer-policies-of-listener](https://docs.aws.amazon.com/cli/latest/reference/elb/set-load-balancer-policies-of-listener.html) para habilitar a política na porta 443 do balanceador de carga:
```
aws elb set-load-balancer-policies-of-listener --load-balancer-name my-loadbalancer --load-balancer-port 443 --policy-names my-SSLNegotiation-policy
```
**nota**
O comando `set-load-balancer-policies-of-listener` substitui o conjunto atual de políticas para a porta especificada do load balancer pelo conjunto de políticas especificado. A lista `--policy-names` deve incluir todas as políticas para ser habilitada. Se você pular uma política que atualmente está ativada, ela será desativada.
1. (Opcional) Use o [describe-load-balancers](https://docs.aws.amazon.com/cli/latest/reference/elb/describe-load-balancers.html)comando a seguir para verificar se a nova política está habilitada para a porta do balanceador de carga:
```
aws elb describe-load-balancers --load-balancer-name my-loadbalancer
```
A resposta mostra que a política está habilitada na porta 443.
```
...
{
"Listener": {
"InstancePort": 443,
"SSLCertificateId": "ARN",
"LoadBalancerPort": 443,
"Protocol": "HTTPS",
"InstanceProtocol": "HTTPS"
},
"PolicyNames": [
"my-SSLNegotiation-policy"
]
}
...
```