Aktualisieren der SSL-Aushandlungskonfiguration Ihres Classic Load Balancers - ELB
Aktualisieren der SSL-Aushandlungskonfiguration mit der KonsoleAktualisieren Sie die SSL-Aushandlungskonfiguration mit dem AWS CLI

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Aktualisieren der SSL-Aushandlungskonfiguration Ihres Classic Load Balancers

ELB bietet Sicherheitsrichtlinien mit vordefinierten SSL-Aushandlungskonfigurationen, mit denen Sie SSL-Verbindungen zwischen Clients und Ihrem Load Balancer aushandeln können. Wenn Sie das HTTPS/SSL Protokoll für Ihren Listener verwenden, können Sie eine der vordefinierten Sicherheitsrichtlinien oder Ihre eigene benutzerdefinierte Sicherheitsrichtlinie verwenden.

Weitere Informationen zu den Sicherheitsrichtlinien finden Sie unter SSL-Aushandlungskonfigurationen für Classic Load Balancer. Informationen zu den Konfigurationen der von ELB bereitgestellten Sicherheitsrichtlinien finden Sie unterVordefinierte SSL-Sicherheitsrichtlinien für Classic Load Balancer.

Wenn Sie einen HTTPS/SSL Listener erstellen, ohne eine Sicherheitsrichtlinie zuzuweisen, ordnet ELB Ihrem Load Balancer die vordefinierte Standardsicherheitsrichtlinie zu. ELBSecurityPolicy-2016-08

Wenn Sie möchten, können Sie eine benutzerdefinierte Konfiguration erstellen. Wir empfehlen dringend, dass Sie Ihre Sicherheitsrichtlinie testen, bevor Sie Ihre Load Balancer-Konfiguration aktualisieren.

Die folgenden Beispiele zeigen Ihnen, wie Sie die SSL-Verhandlungskonfiguration für einen HTTPS/SSL Listener aktualisieren. Beachten Sie, dass die Änderung sich nicht auf Anforderungen auswirkt, die von einem Load Balancer-Knoten empfangen wurden und auf das Routing zu einer funktionierenden Instance warten, sondern die aktualisierte Konfiguration wird für neu empfangene Anforderungen verwendet.

Aktualisieren der SSL-Aushandlungskonfiguration mit der Konsole

Standardmäßig ordnet ELB Ihrem Load Balancer die neueste vordefinierte Richtlinie zu. Wenn eine neue vordefinierte Richtlinie hinzugefügt wird, sollten Sie Ihren Load Balancer mit der neuen vordefinierten Richtlinie aktualisieren. Alternativ können Sie eine andere vordefinierte Sicherheitsrichtlinie auswählen oder eine benutzerdefinierte Richtlinie erstellen.

Um die SSL-Verhandlungskonfiguration für einen HTTPS/SSL Load Balancer mithilfe der Konsole zu aktualisieren

  1. Öffnen Sie die EC2 Amazon-Konsole unter https://console.aws.amazon.com/ec2/.

  2. Wählen Sie im Navigationsbereich unter LOAD BALANCING die Option Load Balancers aus.

  3. Wählen Sie den Namen des Load Balancers aus, um die Detailseite zu öffnen.

  4. Wählen Sie auf der Registerkarte Listeners (Listener) die Option Manage listeners (Listener verwalten) aus.

  5. Suchen Sie auf der Seite Manage listeners (Listener verwalten) den Listener, der aktualisiert werden soll, und wählen Sie unter Security policy (Sicherheitsrichtlinie) die Option Edit (Bearbeiten) aus. Wählen Sie mithilfe einer der folgenden Optionen eine Sicherheitsrichtlinie aus:

    • Behalten Sie die Standardrichtlinie ELBSecurityPolicy-2016-08 bei und wählen Sie dann Änderungen speichern.

    • Wählen Sie eine andere vordefinierte Richtlinie als die Standardrichtlinie und wählen Sie dann Save changes (Änderungen speichern).

    • Wählen Sie Custom (Benutzerdefiniert) aus und aktivieren Sie mindestens ein Protokoll und eine Verschlüsselung wie folgt:

      1. Wählen Sie für SSL Protocols ein oder mehrere Protokolle zur Aktivierung aus.

      2. Wählen Sie für SSL Options die Option Server Order Preference, um den in der Vordefinierte SSL-Sicherheitsrichtlinien für Classic Load Balancer aufgelisteten Auftrag für die SSL-Aushandlung zu verwenden.

      3. Wählen Sie für SSL Ciphers eine oder mehrere Verschlüsselungen zur Aktivierung aus. Wenn Sie bereits ein SSL-Zertifikat haben, müssen Sie die Verschlüsselung aktivieren, mit der das Zertifikat erstellt wurde, da DSA- und RSA-Verschlüsselung spezifisch für den Signaturalgorithmus sind.

      4. Wählen Sie Änderungen speichern aus.

Aktualisieren Sie die SSL-Aushandlungskonfiguration mit dem AWS CLI

Sie können die vordefinierte Standardsicherheitsrichtlinie ELBSecurityPolicy-2016-08 verwenden, eine andere vordefinierte Sicherheitsrichtlinie oder eine benutzerdefinierte Sicherheitsrichtlinie.

Verwendung einer vordefinierten SSL-Sicherheitsrichtlinie

  1. Verwenden Sie den folgenden describe-load-balancer-policiesBefehl, um die von ELB bereitgestellten vordefinierten Sicherheitsrichtlinien aufzulisten. Die Syntax, die Sie verwenden, ist vom verwendeten Betriebssystem und der Shell abhängig.

    Linux

    aws elb describe-load-balancer-policies --query 'PolicyDescriptions[?PolicyTypeName==`SSLNegotiationPolicyType`].{PolicyName:PolicyName}' --output table

    Windows

    aws elb describe-load-balancer-policies --query "PolicyDescriptions[?PolicyTypeName==`SSLNegotiationPolicyType`].{PolicyName:PolicyName}" --output table

    Das Folgende ist eine Beispielausgabe:

    ------------------------------------------
|      DescribeLoadBalancerPolicies      |
+----------------------------------------+
|               PolicyName               |
+----------------------------------------+
|  ELBSecurityPolicy-2016-08             |
|  ELBSecurityPolicy-TLS-1-2-2017-01     |
|  ELBSecurityPolicy-TLS-1-1-2017-01     |
|  ELBSecurityPolicy-2015-05             |
|  ELBSecurityPolicy-2015-03             |
|  ELBSecurityPolicy-2015-02             |
|  ELBSecurityPolicy-2014-10             |
|  ELBSecurityPolicy-2014-01             |
|  ELBSecurityPolicy-2011-08             |
|  ELBSample-ELBDefaultCipherPolicy      |
|  ELBSample-OpenSSLDefaultCipherPolicy  |
+----------------------------------------+

    Um zu bestimmen, welche Verschlüsselungsverfahren für eine Richtlinie aktiviert sind, verwenden Sie den folgenden Befehl:

    aws elb describe-load-balancer-policies --policy-names ELBSecurityPolicy-2016-08 --output table

    Informationen über die Konfiguration mit vordefinierten Sicherheitsrichtlinien finden Sie unter Vordefinierte SSL-Sicherheitsrichtlinien für Classic Load Balancer.

  2. Verwenden Sie den create-load-balancer-policyBefehl, um eine SSL-Verhandlungsrichtlinie mithilfe einer der vordefinierten Sicherheitsrichtlinien zu erstellen, die Sie im vorherigen Schritt beschrieben haben. Der folgende Befehl verwendet beispielsweise die vordefinierte Standardsicherheitsrichtlinie:

    aws elb create-load-balancer-policy --load-balancer-name my-loadbalancer
--policy-name my-SSLNegotiation-policy  --policy-type-name SSLNegotiationPolicyType
--policy-attributes AttributeName=Reference-Security-Policy,AttributeValue=ELBSecurityPolicy-2016-08

    Wenn Sie das Limit für die Anzahl der Richtlinien für den Load Balancer überschreiten, verwenden Sie den delete-load-balancer-policyBefehl, um alle nicht verwendeten Richtlinien zu löschen.

  3. (Optional) Verwenden Sie den folgenden describe-load-balancer-policiesBefehl, um zu überprüfen, ob die Richtlinie erstellt wurde:

    aws elb describe-load-balancer-policies --load-balancer-name my-loadbalancer --policy-name my-SSLNegotiation-policy

    Die Antwort enthält die Beschreibung der Richtlinie.

  4. Verwenden Sie den folgenden Befehl set-load-balancer-policies-of-listener, um die Richtlinie auf dem Load Balancer-Port 443 zu aktivieren:

    aws elb set-load-balancer-policies-of-listener --load-balancer-name my-loadbalancer --load-balancer-port 443 --policy-names my-SSLNegotiation-policy
    Anmerkung

    Der Befehl set-load-balancer-policies-of-listener ersetzt die aktuellen Richtlinien für den angegebenen Load Balancer-Port durch die angegebenen Richtlinien. Die Liste --policy-names muss alle zu aktivierenden Richtlinien enthalten. Wenn Sie eine Richtlinie auslassen, die derzeit aktiviert ist, wird sie deaktiviert.

  5. (Optional) Verwenden Sie den folgenden describe-load-balancersBefehl, um zu überprüfen, ob die neue Richtlinie für den Load Balancer-Port aktiviert ist:

    aws elb describe-load-balancers --load-balancer-name my-loadbalancer

    Die Antwort zeigt, dass die Richtlinie auf Port 443 aktiviert ist.

    ...
  {
      "Listener": {
          "InstancePort": 443,
          "SSLCertificateId": "ARN",
          "LoadBalancerPort": 443,
          "Protocol": "HTTPS",
          "InstanceProtocol": "HTTPS"
      },
      "PolicyNames": [
          "my-SSLNegotiation-policy"
      ]
  }
...

Wenn Sie eine benutzerdefinierte Sicherheitsrichtlinie erstellen, müssen Sie mindestens ein Protokoll und eine Verschlüsselung aktivieren. Die DSA- und RSA-Verschlüsselungen gelten speziell für den Signaturalgorithmus zum Erstellen von SSL-Zertifikaten. Wenn Sie bereits über ein SSL-Zertifikat verfügen, müssen Sie die Verschlüsselung aktivieren, mit der das Zertifikat erstellt wurde. Der Name der benutzerdefinierten Richtlinie darf nicht mit ELBSecurityPolicy- oder ELBSample- beginnen, da diese Präfixe für die Namen der vordefinierten Sicherheitsrichtlinien definiert sind.

Verwendung einer benutzerdefinierten SSL-Sicherheitsrichtlinie

  1. Verwenden Sie den create-load-balancer-policyBefehl, um eine SSL-Verhandlungsrichtlinie mithilfe einer benutzerdefinierten Sicherheitsrichtlinie zu erstellen. Beispiel:

    aws elb create-load-balancer-policy --load-balancer-name my-loadbalancer 
 --policy-name my-SSLNegotiation-policy --policy-type-name SSLNegotiationPolicyType 
 --policy-attributes AttributeName=Protocol-TLSv1.2,AttributeValue=true 
 AttributeName=Protocol-TLSv1.1,AttributeValue=true 
 AttributeName=DHE-RSA-AES256-SHA256,AttributeValue=true 
 AttributeName=Server-Defined-Cipher-Order,AttributeValue=true

    Wenn Sie das Limit für die Anzahl der Richtlinien für den Load Balancer überschreiten, verwenden Sie den delete-load-balancer-policyBefehl, um alle nicht verwendeten Richtlinien zu löschen.

  2. (Optional) Verwenden Sie den folgenden describe-load-balancer-policiesBefehl, um zu überprüfen, ob die Richtlinie erstellt wurde:

    aws elb describe-load-balancer-policies --load-balancer-name my-loadbalancer --policy-name my-SSLNegotiation-policy

    Die Antwort enthält die Beschreibung der Richtlinie.

  3. Verwenden Sie den folgenden Befehl set-load-balancer-policies-of-listener, um die Richtlinie auf dem Load Balancer-Port 443 zu aktivieren:

    aws elb set-load-balancer-policies-of-listener --load-balancer-name my-loadbalancer --load-balancer-port 443 --policy-names my-SSLNegotiation-policy
    Anmerkung

    Der Befehl set-load-balancer-policies-of-listener ersetzt die aktuellen Richtlinien für den angegebenen Load Balancer-Port durch die angegebenen Richtlinien. Die Liste --policy-names muss alle zu aktivierenden Richtlinien enthalten. Wenn Sie eine Richtlinie auslassen, die derzeit aktiviert ist, wird sie deaktiviert.

  4. (Optional) Verwenden Sie den folgenden describe-load-balancersBefehl, um zu überprüfen, ob die neue Richtlinie für den Load Balancer-Port aktiviert ist:

    aws elb describe-load-balancers --load-balancer-name my-loadbalancer

    Die Antwort zeigt, dass die Richtlinie auf Port 443 aktiviert ist.

    ...
  {
      "Listener": {
          "InstancePort": 443,
          "SSLCertificateId": "ARN",
          "LoadBalancerPort": 443,
          "Protocol": "HTTPS",
          "InstanceProtocol": "HTTPS"
      },
      "PolicyNames": [
          "my-SSLNegotiation-policy"
      ]
  }
...