View a markdown version of this page

Atualizar um receptor TLS para o Network Load Balancer - Elastic Load Balancing
Substituir o certificado padrãoAdicionar certificados à lista de certificadosRemover certificados da lista de certificadosAtualizar a política de segurançaAtualizar a política ALPN

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Atualizar um receptor TLS para o Network Load Balancer

Depois de criar um listener TLS, você poderá substituir o certificado padrão, adicionar ou remover certificados da lista de certificados, atualizar a política de segurança ou atualizar a política ALPN.

Substituir o certificado padrão

Você pode substituir o certificado padrão do seu receptor TLS conforme necessário. Para obter mais informações, consulte Certificado padrão.

Console
Para substituir o certificado padrão

  1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.

  2. No painel de navegação, selecione Balanceador de carga.

  3. Selecione o load balancer.

  4. Na guia Ouvintes, escolha o texto na Protocol:Portcoluna para abrir a página de detalhes do ouvinte.

  5. Na guia Certificados, escolha Alterar padrão.

  6. Na tabela Certificados do ACM e do IAM, selecione um novo certificado padrão.

  7. (Opcional) Por padrão, selecionamos Adicionar certificado padrão anterior à lista de certificados de receptor. Recomendamos que você mantenha essa opção selecionada, a menos que você não tenha certificados de receptor para SNI atualmente e confie na retomada da sessão TLS.

  8. Escolha Salvar como padrão.

AWS CLI
Para substituir o certificado padrão

Use o comando modify-listener.

aws elbv2 modify-listener \
    --listener-arn listener-arn \
    --certificates CertificateArn=new-default-certificate-arn
CloudFormation
Para substituir o certificado padrão

Atualize o recurso AWS::ElasticLoadBalancingV2: :Listener com o novo certificado padrão.

Resources:
  myTLSListener:
    Type: 'AWS::ElasticLoadBalancingV2::Listener'
    Properties:
      LoadBalancerArn: !Ref myLoadBalancer
      Protocol: TLS
      Port: 443
      DefaultActions:
        - Type: forward
          TargetGroupArn: !Ref myTargetGroup
      SslPolicy: "ELBSecurityPolicy-TLS13-1-2-2021-06"
      Certificates:
        - CertificateArn: "new-default-certificate-arn"

Adicionar certificados à lista de certificados

Você pode adicionar certificados à lista de certificados do listener usando o procedimento a seguir. Ao criar um listener TLS pela primeira vez, a lista de certificados estará vazia. Você pode adicionar o certificado padrão à lista de certificados para garantir que esse certificado seja usado com o protocolo SNI, mesmo que ele seja substituído como certificado padrão. Para obter mais informações, consulte Lista de certificados.

Console
Para adicionar certificados à lista de certificados

  1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.

  2. No painel de navegação, selecione Load Balancers.

  3. Escolha o nome do balanceador de carga para abrir sua página de detalhes.

  4. Na guia Ouvintes, escolha o texto na Protocol:Portcoluna para abrir a página de detalhes do ouvinte.

  5. Escolha a guia Certificados.

  6. Para adicionar o certificado padrão à lista, selecione Adicionar padrão à lista.

  7. Para adicionar certificados não padrão à lista, siga os passos a seguir:

    1. Escolha Adicionar certificado.

    2. Para adicionar certificados que já sejam gerenciados pelo ACM ou pelo IAM, marque as caixas de seleção dos certificados e escolha Incluir como pendente abaixo.

    3. Para adicionar um certificado que não seja gerenciado pelo ACM ou pelo IAM, escolha Importar certificado, preencha o formulário e escolha Importar.

    4. Escolha Adicionar certificados pendentes.

AWS CLI
Para adicionar certificados à lista de certificados

Use o comando add-listener-certificates.

aws elbv2 add-listener-certificates \
    --listener-arn listener-arn \
    --certificates \
        CertificateArn=certificate-arn-1 \
        CertificateArn=certificate-arn-2 \
        CertificateArn=certificate-arn-3
CloudFormation
Para adicionar certificados à lista de certificados

Defina um recurso do tipo AWS::ElasticLoadBalancingV2:: ListenerCertificate.

Resources: 
  myCertificateList:
    Type: 'AWS::ElasticLoadBalancingV2::ListenerCertificate'
    Properties:
      ListenerArn: !Ref myTLSListener
      Certificates:
        - CertificateArn: "certificate-arn-1"
        - CertificateArn: "certificate-arn-2"
        - CertificateArn: "certificate-arn-3"

  myTLSListener:
    Type: AWS::ElasticLoadBalancingV2::Listener
    Properties:
      LoadBalancerArn: !Ref myLoadBalancer
      Protocol: TLSS
      Port: 443
      SslPolicy: "ELBSecurityPolicy-TLS13-1-2-2021-06"
      Certificates:
        - CertificateArn: "certificate-arn-1"
      DefaultActions:
        - Type: forward
          TargetGroupArn: !Ref myTargetGroup

Remover certificados da lista de certificados

É possível remover certificados da lista de certificados de um listener TLS usando o procedimento a seguir. Após a remoção de um certificado, o receptor não poderá mais criar conexões usando esse certificado. Para ter certeza de que os clientes não serão afetados, adicione um novo certificado à lista e confirme se as conexões estão funcionando antes de remover um certificado da lista.

Para remover o certificado padrão de um listener TLS, consulte Substituir o certificado padrão.

Console
Para remover certificados da lista de certificados

  1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.

  2. No painel de navegação, selecione Load Balancers.

  3. Escolha o nome do balanceador de carga para abrir sua página de detalhes.

  4. Na guia Ouvintes, escolha o texto na Protocol:Portcoluna para abrir a página de detalhes do ouvinte.

  5. Na guia Certificados, marque as caixas de seleção para os certificados e escolha Remover.

  6. Quando a confirmação for solicitada, insira confirm e escolha Rejeitar.

AWS CLI
Para remover certificados da lista de certificados

Use o comando remove-listener-certificates.

aws elbv2 remove-listener-certificates \
    --listener-arn listener-arn \
    --certificates CertificateArn=certificate-arn

Atualizar a política de segurança

Ao criar um listener TLS, você poderá selecionar a política de segurança que atenda às suas necessidades. Quando uma nova política de segurança é adicionada, você pode atualizar seu receptor HTTPS para usar a nova política de segurança. Os Network Load Balancers não são compatíveis com políticas de segurança personalizadas. Para obter mais informações, consulte Políticas de segurança para o Network Load Balancer.

A atualização da política de segurança pode resultar em interrupções se o balanceador de carga estiver lidando com um alto volume de tráfego. Para diminuir a possibilidade de interrupções quando seu balanceador de carga está lidando com um grande volume de tráfego, crie um balanceador de carga adicional para ajudar a lidar com o tráfego ou solicite uma reserva de LCU.

Console
Para atualizar a política de segurança

  1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.

  2. No painel de navegação, selecione Load Balancers.

  3. Escolha o nome do balanceador de carga para abrir sua página de detalhes.

  4. Na guia Ouvintes, escolha o texto na Protocol:Portcoluna para abrir a página de detalhes do ouvinte.

  5. Selecione Ações, Editar receptor.

  6. Na seção Configurações de receptor seguro, em Política de segurança, escolha uma nova política de segurança.

  7. Escolha Salvar alterações.

AWS CLI
Para atualizar a política de segurança

Use o comando modify-listener.

aws elbv2 modify-listener \
    --listener-arn listener-arn \
    --ssl-policy ELBSecurityPolicy-TLS13-1-2-Res-2021-06
CloudFormation
Para atualizar a política de segurança

Atualize o recurso AWS::ElasticLoadBalancingV2: :Listener com a nova política de segurança.

Resources:
  myTLSListener:
    Type: 'AWS::ElasticLoadBalancingV2::Listener'
    Properties:
      LoadBalancerArn: !Ref myLoadBalancer
      Protocol: TLS
      Port: 443
      SslPolicy: "ELBSecurityPolicy-TLS13-1-2-2021-06"
      Certificates:
        - CertificateArn: "default-certificate-arn"
      DefaultActions:
        - Type: forward
          TargetGroupArn: !Ref myTargetGroup

Atualizar a política ALPN

Você pode atualizar a política ALPN para seu receptor TLS conforme necessário. Para obter mais informações, consulte Políticas ALPN.

Console
Para atualizar a política ALPN

  1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.

  2. No painel de navegação, selecione Load Balancers.

  3. Escolha o nome do balanceador de carga para abrir sua página de detalhes.

  4. Na guia Ouvintes, escolha o texto na Protocol:Portcoluna para abrir a página de detalhes do ouvinte.

  5. Selecione Ações, Editar receptor.

  6. Na seção Configurações de receptor seguro, em Política ALPN, escolha uma política para habilitar ALPN ou escolha Nenhuma para desabilitar ALPN.

  7. Escolha Salvar alterações.

AWS CLI
Para atualizar a política ALPN

Use o comando modify-listener.

aws elbv2 modify-listener \
    --listener-arn listener-arn \
    --alpn-policy HTTP2Preferred
CloudFormation
Para atualizar a política ALPN

Atualize o recurso AWS::ElasticLoadBalancingV2: :Listener para incluir a política ALPN.

Resources:
  myTLSListener:
    Type: 'AWS::ElasticLoadBalancingV2::Listener'
    Properties:
      LoadBalancerArn: !Ref myLoadBalancer
      Protocol: TLS
      Port: 443
      SslPolicy: "ELBSecurityPolicy-TLS13-1-2-Res-2021-06"
      AlpnPolicy:
        - HTTP2Preferred
      Certificates:
        - CertificateArn: "certificate-arn"
      DefaultActions:
        - Type: forward
          TargetGroupArn: !Ref myTargetGroup