Atualizar a configuração de negociação SSL do seu Classic Load Balancer
O Elastic Load Balancing fornece políticas de segurança que têm configurações de negociação SSL predefinidas para serem usadas na negociação de conexões SSL entre os clientes e o seu balanceador de carga. Se você estiver usando o protocolo HTTPS/SSL para seu listener, pode usar uma das políticas de segurança predefinidas ou usar a sua própria política de segurança personalizada.
Para obter mais informações sobre as políticas de segurança, consulte Configurações de negociação SSL para balanceadores de carga clássicos. Para obter informações sobre as configurações das políticas de segurança fornecidas pelo Elastic Load Balancing, consulte Políticas de segurança SSL predefinidas para balanceadores de carga clássicos.
Se você criar um listener HTTPS/SSL sem associar uma política de segurança, o Elastic Load Balancing associará a política de segurança predefinida padrão, ELBSecurityPolicy-2016-08, a seu balanceador de carga.
Se você preferir, pode criar uma configuração personalizada. Recomendamos enfaticamente que você teste a política de segurança antes de atualizar a configuração do balanceador de carga.
Os exemplos a seguir mostram como atualizar a configuração de negociação SSL para um listener HTTPS/SSL. Observe que a alteração não afeta as solicitações recebidas por um nó do load balancer e são pendentes de roteamento para uma instância íntegra, mas a configuração atualizada será usada com as novas solicitações recebidas.
Conteúdo
Atualizar a configuração da negociação SSL usando o console
Por padrão, o Elastic Load Balancing associa a política predefinida mais recente a seu balanceador de carga. Quando uma nova política predefinida é adicionada, recomendamos que você atualize o load balancer para usar a nova política predefinida. Você também pode selecionar uma política de segurança predefinida diferente ou criar uma política personalizada.
Como atualizar a configuração de negociação SSL para um balanceador de carga HTTPS/SSL usando o console
Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/
. -
No painel de navegação, em Load Balancing (Balanceamento de carga), escolha Load balancers (Balanceadores de carga).
-
Escolha o nome do balanceador de carga para abrir sua página de detalhes.
-
Na guia Receptores, escolha Gerenciar receptores.
-
Na página Gerenciar receptores, localize o receptor a ser atualizado, escolha Editar em Política de segurança e selecione uma política de segurança usando uma das seguintes opções:
-
Mantenha a política padrão, ELBSecurityPolicy-2016-08, e escolha Salvar alterações.
-
Selecione uma política predefinida diferente do padrão e escolha Salvar alterações.
-
Selecione Personalizar e habilite pelo menos um protocolo e uma cifra, da seguinte forma:
-
Em Protocolos SSL, selecione um ou mais protocolos para habilitar.
-
Em Opções SSL, selecione Preferência de ordem de servidor para usar a ordem listada na Políticas de segurança SSL predefinidas para balanceadores de carga clássicos para negociação SSL.
-
Em Cifras SSL, selecione uma ou mais cifras para habilitar. Se você já tiver um certificado SSL, deverá habilitar a cifra usada para criar o certificado, pois as cifras DSA e RSA são específicas do algoritmo de assinatura.
-
Escolha Salvar alterações.
-
-
Atualizar a configuração de negociação SSL usando a AWS CLI
Você pode usar a política de segurança predefinida padrão, ELBSecurityPolicy-2016-08, uma política de segurança predefinida diferente ou uma política de segurança personalizada.
Para usar uma política de segurança SSL predefinida
-
Use o seguinte comando describe-load-balancer-policies para listar as políticas de segurança predefinidas fornecidas pelo Elastic Load Balancing. A sintaxe a ser usada dependerá do sistema operacional e do shell em uso.
Linux
aws elb describe-load-balancer-policies --query 'PolicyDescriptions[?PolicyTypeName==`SSLNegotiationPolicyType`].{PolicyName:PolicyName}' --output tableWindows
aws elb describe-load-balancer-policies --query "PolicyDescriptions[?PolicyTypeName==`SSLNegotiationPolicyType`].{PolicyName:PolicyName}" --output tableA seguir está um exemplo de saída:
------------------------------------------ | DescribeLoadBalancerPolicies | +----------------------------------------+ | PolicyName | +----------------------------------------+ | ELBSecurityPolicy-2016-08 | | ELBSecurityPolicy-TLS-1-2-2017-01 | | ELBSecurityPolicy-TLS-1-1-2017-01 | | ELBSecurityPolicy-2015-05 | | ELBSecurityPolicy-2015-03 | | ELBSecurityPolicy-2015-02 | | ELBSecurityPolicy-2014-10 | | ELBSecurityPolicy-2014-01 | | ELBSecurityPolicy-2011-08 | | ELBSample-ELBDefaultCipherPolicy | | ELBSample-OpenSSLDefaultCipherPolicy | +----------------------------------------+Para determinar quais cifras estão habilitadas para uma política, use o seguinte comando:
aws elb describe-load-balancer-policies --policy-namesELBSecurityPolicy-2016-08--output tablePara obter informações sobre a configuração das políticas de segurança predefinidas, consulte Políticas de segurança SSL predefinidas para balanceadores de carga clássicos.
-
Use o comando create-load-balancer-policy para criar uma política de negociação SSL usando uma das políticas de segurança predefinidas descritas na etapa anterior. Por exemplo, o comando a seguir usa a política de segurança predefinida padrão:
aws elb create-load-balancer-policy --load-balancer-namemy-loadbalancer--policy-namemy-SSLNegotiation-policy--policy-type-name SSLNegotiationPolicyType --policy-attributes AttributeName=Reference-Security-Policy,AttributeValue=ELBSecurityPolicy-2016-08Se você excedeu o limite do número de políticas para o load balancer, use o comando delete-load-balancer-policy para excluir qualquer política não utilizada.
-
(Opcional) Use o comando describe-load-balancer-policies para verificar se a política foi criada:
aws elb describe-load-balancer-policies --load-balancer-namemy-loadbalancer--policy-namemy-SSLNegotiation-policyA resposta inclui a descrição da política.
-
Use o comando set-load-balancer-policies-of-listener para habilitar a política na porta 443 do load balancer:
aws elb set-load-balancer-policies-of-listener --load-balancer-namemy-loadbalancer--load-balancer-port 443 --policy-namesmy-SSLNegotiation-policynota
O comando
set-load-balancer-policies-of-listenersubstitui o conjunto atual de políticas para a porta especificada do load balancer pelo conjunto de políticas especificado. A lista--policy-namesdeve incluir todas as políticas para ser habilitada. Se você pular uma política que atualmente está ativada, ela será desativada. -
(Opcional) Use o comando describe-load-balancers para verificar se a nova política é habilitada para a porta do load balancer:
aws elb describe-load-balancers --load-balancer-namemy-loadbalancerA resposta mostra que a política está habilitada na porta 443.
... { "Listener": { "InstancePort": 443, "SSLCertificateId": "ARN", "LoadBalancerPort": 443, "Protocol": "HTTPS", "InstanceProtocol": "HTTPS" }, "PolicyNames": [ "my-SSLNegotiation-policy" ] } ...
Quando você cria uma política de segurança personalizada, deve habilitar pelo menos um protocolo e uma cifra. Cifras DSA e RSA são específicas do algoritmo de assinatura e são usadas para criar o certificado SSL. Se você já tiver um certificado SSL, ative a cifra que foi usada para criar o certificado. O nome da sua política personalizada não deve começar com ELBSecurityPolicy- ou ELBSample-, pois esses prefixos são reservados para os nomes das políticas de segurança predefinidas.
Para usar uma política de segurança SSL personalizada
-
Use o comando create-load-balancer-policy para criar uma política de negociação SSL usando uma política de segurança personalizada. Por exemplo:
aws elb create-load-balancer-policy --load-balancer-namemy-loadbalancer--policy-namemy-SSLNegotiation-policy--policy-type-name SSLNegotiationPolicyType --policy-attributes AttributeName=Protocol-TLSv1.2,AttributeValue=true AttributeName=Protocol-TLSv1.1,AttributeValue=true AttributeName=DHE-RSA-AES256-SHA256,AttributeValue=true AttributeName=Server-Defined-Cipher-Order,AttributeValue=trueSe você excedeu o limite do número de políticas para o load balancer, use o comando delete-load-balancer-policy para excluir qualquer política não utilizada.
-
(Opcional) Use o comando describe-load-balancer-policies para verificar se a política foi criada:
aws elb describe-load-balancer-policies --load-balancer-namemy-loadbalancer--policy-namemy-SSLNegotiation-policyA resposta inclui a descrição da política.
-
Use o comando set-load-balancer-policies-of-listener para habilitar a política na porta 443 do load balancer:
aws elb set-load-balancer-policies-of-listener --load-balancer-namemy-loadbalancer--load-balancer-port 443 --policy-namesmy-SSLNegotiation-policynota
O comando
set-load-balancer-policies-of-listenersubstitui o conjunto atual de políticas para a porta especificada do load balancer pelo conjunto de políticas especificado. A lista--policy-namesdeve incluir todas as políticas para ser habilitada. Se você pular uma política que atualmente está ativada, ela será desativada. -
(Opcional) Use o comando describe-load-balancers para verificar se a nova política é habilitada para a porta do load balancer:
aws elb describe-load-balancers --load-balancer-namemy-loadbalancerA resposta mostra que a política está habilitada na porta 443.
... { "Listener": { "InstancePort": 443, "SSLCertificateId": "ARN", "LoadBalancerPort": 443, "Protocol": "HTTPS", "InstanceProtocol": "HTTPS" }, "PolicyNames": [ "my-SSLNegotiation-policy" ] } ...
