As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Certificados SSL/TLS para balanceadores de carga clássicos
<a name="ssl-server-cert"></a>

Se você usar HTTPS (SSL ou TLS) para o listener front-end, deverá implantar um certificado SSL/TLS no seu load balancer. O load balancer usa o certificado para encerrar a conexão e, em seguida, descriptografa solicitações dos clientes antes de enviá-las às instâncias.

Os protocolos SSL e TLS usam um certificado X.509 (certificado de servidor SSL/TLS) para autenticar tanto o cliente quanto o aplicativo back-end. Um certificado X.509 é uma forma digital de identificação emitida por uma autoridade certificadora (CA) e contém informações de identificação, período de validade, chave pública, número de série e assinatura digital do emissor.

Você pode criar um certificado usando AWS Certificate Manager ou uma ferramenta que ofereça suporte aos protocolos SSL e TLS, como o OpenSSL. Você especificará esse certificado ao criar ou atualizar um listener HTTPS para seu load balancer. Quando você cria um certificado para uso com seu load balancer, é necessário especificar um nome de domínio.

Quando você cria um certificado para uso com seu load balancer, é necessário especificar um nome de domínio. O nome de domínio no certificado deve corresponder ao registro de nome de domínio personalizado. Se eles não coincidirem, o tráfego não será criptografado, pois a conexão TLS não pode ser verificada.

Você precisa especificar um nome de domínio totalmente qualificado (FQDN) para seu certificado, como `www.example.com` ou um nome de domínio de apex como `example.com`. Você também pode usar um asterisco (\*) como um caractere curinga para proteger vários nomes de site no mesmo domínio. Quando você solicita um certificado-curinga, o asterisco (\*) deve estar na posição mais à esquerda do nome do domínio e só pode proteger um nível de subdomínio. Por exemplo,`*.example.com` protege `corp.example.com` e `images.example.com`, mas não pode proteger `test.login.example.com`. Note também que `*.example.com` protege apenas os subdomínios de `example.com`, mas não protege o domínio vazio ou apex (`example.com`). O nome-curinga será exibido no campo **Subject (Assunto)** e na extensão **Subject Alternative Name (Nome alternativo do assunto)** do certificado. Para obter mais informações sobre certificados públicos, consulte [Solicitação de um certificado público](https://docs.aws.amazon.com/acm/latest/userguide/gs-acm-request-public.html#request-public-console) no *Manual do usuário do AWS Certificate Manager *.

## Crie ou importe um SSL/TLS certificado usando AWS Certificate Manager
<a name="create-certificate-acm"></a>

Recomendamos que você use AWS Certificate Manager (ACM) para criar ou importar certificados para seu balanceador de carga. O ACM se integra ao Elastic Load Balancing para que você possa implantar o certificado em seu balanceador de carga. Para implantar um certificado em seu balanceador de carga, o certificado deverá estar na mesma região que o balanceador de carga. Para obter mais informações, consulte [Solicitar um certificado público](https://docs.aws.amazon.com/acm/latest/userguide/gs-acm-request-public.html) ou [Importar certificados](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate.html) no *Manual do usuário do AWS Certificate Manager *.

Para permitir que um usuário implante o certificado em seu balanceador de carga usando o Console de gerenciamento da AWS, você deve permitir o acesso à ação da API `ListCertificates` do ACM. Para obter mais informações, consulte [Listar certificados](https://docs.aws.amazon.com/acm/latest/userguide/security_iam_id-based-policy-examples.html#policy-list-certificates) no *Manual do usuário do AWS Certificate Manager *.

**Importante**  
Não é possível instalar certificados com chaves RSA de 4.096 bits ou chaves EC no balanceador de carga por meio de integração com o ACM. É necessário fazer upload dos certificados com chaves RSA de 4.096 bits ou chaves EC no IAM para usá-los com o balanceador de carga.

## Importar um SSL/TLS certificado usando o IAM
<a name="import-certificate-iam"></a>

Se você não estiver usando o ACM, poderá usar SSL/TLS ferramentas, como o OpenSSL, para criar uma solicitação de assinatura de certificado (CSR), obter a CSR assinada por uma CA para produzir um certificado e carregar o certificado no IAM. Para obter mais informações, consulte [Working with server certificates](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_server-certs.html) (Trabalho com certificados do servidor) no *Guia de usuário do IAM*.