Wie konfiguriere ich meine Application Load Balancer TLS/SSL-Listener für die Verwendung von ECDSA-Chiffren?

Lesedauer: 4 Minute

Die Sicherheitsrichtlinie meines Application Load Balancers führt RSA- und ECDSA-Chiffren auf. Wenn ich jedoch eine Verbindung zu meinem Load Balancer herstelle, werden nur RSA-Chiffren ausgewählt.

Kurzbeschreibung

Du kannst einen HTTPS-Listener für den Application Load Balancer mit mehreren Zertifikaten konfigurieren. Es erfordert jedoch eine Sicherheitsrichtlinie. Jede Sicherheitsrichtlinie enthält Chiffren für die kryptografischen RSA- und ECDSA-Algorithmen. Während des TLS-Handshakes bestimmt der Application Load Balancer anhand der Auswahlprozesslogik, welches Application Load Balancer-Zertifikat für die HTTPS-Verbindung verwendet werden soll. Wenn das gewählte Zertifikat mit RSA- oder ECDSA-Schlüsseln (elliptische Kurve) erstellt wurde, verwendet der Application Load Balancer RSA- oder ECDSA-Chiffren für die Verschlüsselung.

Lösung

Gehe wie folgt vor, um ECDSA-Chiffren mit dem Application Load Balancer zu verwenden:

Erstelle oder importiere ein neues ECDSA-Zertifikat in ACM und binde es an einen HTTPS-Listener

Neues ECDSA-Zertifikat erstellen

Ermittele zunächst die Zertifikatsanforderungen. Dann fordere ein ECDSA-Zertifikat von AWS Certificate Manager (ACM) an.

Importiere das ECDSA-Zertifikat in ACM

Nachdem du mit der Zertifizierungsstelle zusammengearbeitet hast, um das ECDSA-Zertifikat für die Domain im PEM-Format zu erhalten, importiere das neue ECDSA-Zertifikat in ACM.

Nachdem du das ECDSA-Zertifikat erstellt oder in ACM importiert hast, ordne das Zertifikat dem Application Load Balancer zu.

(Optional) Den TLS-Listener des Load Balancers auf unterstützte Chiffren testen

Verwende ein Open-Source-Befehlszeilentool wie sslscan, um zu testen, welche Protokolle und Chiffren verwendet werden.

Hinweis: Mit sslscan kannst du vollständige Informationen für alle Chiffren abrufen, ohne ein zusätzliches Hilfsprogramm eines Drittanbieters verwenden zu müssen. Wenn du beispielsweise „curl“ verwendest, musst du einzelne Cipher Suites angeben. Diese erfordern separate Curl-Anfragen, die TLS-Protokolle und Cipher Suites angeben.

Du kannst den Befehl sslscan auf jeder Amazon Elastic Compute Cloud (Amazon EC2)-Linux-Instance oder von dem lokalen System aus installieren und ausführen. Stelle sicher, dass der Load Balancer, den du testen möchtest, TLS-Verbindungen von der Quell-IP-Adresse akzeptiert.

Gehe wie folgt vor, um sslscan auf einer Amazon Linux EC2-Instance zu verwenden:

1. Aktiviere das Repository „Extra Packages für Enterprise Linux (EPEL)“.

2. Installiere sslscan auf der Amazon EC2 Linux-Instance:

sudo yum install sslscan

3. Führe den folgenden Befehl aus, um den Application Load Balancer nach unterstützten Chiffren zu durchsuchen. Ersetze example.com durch deinen Domain-Namen:

[ec2-user@ ~]$ sslscan --show-ciphers example.com | grep -E "Preferred|Accepted"

Hier ist eine Beispielausgabe, die die Ergebnisse einer Schwachstellensuche auf dem Application Load Balancer zeigt. In diesem Beispiel verwendet der Load Balancer ein P-256-ECDSA-Zertifikat und eine Standardsicherheitsrichtlinie:

    Accepted  TLSv1  256 bits  ECDHE-ECDSA-AES256-SHA
    Accepted  TLSv1  128 bits  ECDHE-ECDSA-AES128-SHA
    Accepted  TLS11  256 bits  ECDHE-ECDSA-AES256-SHA
    Accepted  TLS11  128 bits  ECDHE-ECDSA-AES128-SHA
    Accepted  TLS12  256 bits  ECDHE-ECDSA-AES256-GCM-SHA384
    Accepted  TLS12  256 bits  ECDHE-ECDSA-AES256-SHA384
    Accepted  TLS12  256 bits  ECDHE-ECDSA-AES256-SHA
    Accepted  TLS12  128 bits  ECDHE-ECDSA-AES128-GCM-SHA256
    Accepted  TLS12  128 bits  ECDHE-ECDSA-AES128-SHA256
    Accepted  TLS12  128 bits  ECDHE-ECDSA-AES128-SHA

Die folgende Beispielausgabe enthält einen Load Balancer mit einem RSA 2048-Zertifikat und einer Standardsicherheitsrichtlinie:

    Accepted  TLSv1  256 bits  ECDHE-RSA-AES256-SHA
    Accepted  TLSv1  256 bits  AES256-SHA
    Accepted  TLSv1  128 bits  ECDHE-RSA-AES128-SHA
    Accepted  TLSv1  128 bits  AES128-SHA
    Accepted  TLS11  256 bits  ECDHE-RSA-AES256-SHA
    Accepted  TLS11  256 bits  AES256-SHA
    Accepted  TLS11  128 bits  ECDHE-RSA-AES128-SHA
    Accepted  TLS11  128 bits  AES128-SHA
    Accepted  TLS12  256 bits  ECDHE-RSA-AES256-GCM-SHA384
    Accepted  TLS12  256 bits  ECDHE-RSA-AES256-SHA384
    Accepted  TLS12  256 bits  ECDHE-RSA-AES256-SHA
    Accepted  TLS12  256 bits  AES256-GCM-SHA384
    Accepted  TLS12  256 bits  AES256-SHA256
    Accepted  TLS12  256 bits  AES256-SHA
    Accepted  TLS12  128 bits  ECDHE-RSA-AES128-GCM-SHA256
    Accepted  TLS12  128 bits  ECDHE-RSA-AES128-SHA256
    Accepted  TLS12  128 bits  ECDHE-RSA-AES128-SHA
    Accepted  TLS12  128 bits  AES128-GCM-SHA256
    Accepted  TLS12  128 bits  AES128-SHA256
    Accepted  TLS12  128 bits  AES128-SHA

Wenn du die ECDSA-Zertifikat auf dem Application Load Balancer korrekt konfiguriert hast, werden in der Ausgabe die ausgehandelten Sammlungen der ECDHE-ECDSA-*-Chiffren angezeigt. Wenn die Ausgabe andere Cipher Suites anzeigt, überprüfe und aktualisiere die Application Load Balancer-Sicherheitsrichtlinie.

Themen: Networking & Content Delivery
Tags: Elastic Load Balancing
Sprache: Deutsch

AWS OFFICIALAktualisiert vor einem Jahr

Relevanter Inhalt

Wie konfiguriere ich Lambda-Funktionen als Ziele für Application Load Balancer und behebe damit verbundene Probleme?
AWS OFFICIALAktualisiert vor 3 Jahren
Wie richte ich gewichtete Zielgruppen für meinen Application Load Balancer ein?
AWS OFFICIALAktualisiert vor 9 Monaten
Wie registriere ich einen Application Load Balancer hinter einem Network Load Balancer?
AWS OFFICIALAktualisiert vor 10 Monaten
Warum schlägt die HTTPS-Verbindung zwischen meiner CloudFront-Distribution und dem Load Balancer fehl?
AWS OFFICIALAktualisiert vor 9 Monaten