Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Mise à jour d'un écouteur HTTPS pour votre Application Load Balancer
Après avoir créé un écouteur HTTPS, vous pouvez remplacer le certificat par défaut, mettre à jour la liste des certificats ou remplacer la stratégie de sécurité.
**Topics**
+ [Remplacer le certificat par défaut](#replace-default-certificate)
+ [Ajouter des certificats à la liste des certificats](#add-certificates)
+ [Supprimer des certificats de la liste des certificats](#remove-certificates)
+ [Mettre à jour la stratégie de sécurité](#update-security-policy)
+ [Modification de l'en-tête HTTP](#update-header-modification)
## Remplacer le certificat par défaut
Vous pouvez remplacer le certificat par défaut de votre écouteur à l'aide de la procédure qui suit. Pour de plus amples informations, veuillez consulter [Certificat par défaut](https-listener-certificates.md#default-certificate).
------
#### [ Console ]
**Pour remplacer le certificat par défaut**
1. Ouvrez la console Amazon EC2 à l’adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Dans le volet de navigation, choisissez **Load Balancers (Équilibreurs de charge)**.
1. Sélectionnez l'équilibreur de charge.
1. Dans l'onglet **Écouteurs et règles**, choisissez le texte dans la colonne **Protocol:Port** pour ouvrir la page détaillée de l'écouteur.
1. Dans l'onglet **Certificats**, choisissez **Modifier les valeurs par défaut**.
1. Dans le tableau **Certificats ACM et IAM**, sélectionnez un nouveau certificat par défaut.
1. (Facultatif) Par défaut, nous sélectionnons **Ajouter le certificat par défaut précédent à la liste des certificats d'écouteur**. Nous vous recommandons de conserver cette option sélectionnée, sauf si vous ne possédez actuellement aucun certificat d'écouteur pour le SNI et que vous comptez sur la reprise de session TLS.
1. Choisissez **Enregistrer par défaut**.
------
#### [ AWS CLI ]
**Pour remplacer le certificat par défaut**
Utilisez la commande [modify-listener](https://docs.aws.amazon.com/cli/latest/reference/elbv2/modify-listener.html).
```
aws elbv2 modify-listener \
--listener-arn listener-arn \
--certificates CertificateArn=new-default-certificate-arn
```
------
#### [ CloudFormation ]
**Pour remplacer le certificat par défaut**
Mettez à jour le [AWS::ElasticLoadBalancingV2::Listener](https://docs.aws.amazon.com/AWSCloudFormation/latest/TemplateReference/aws-resource-elasticloadbalancingv2-listener.html).
```
Resources:
myHTTPSListener:
Type: 'AWS::ElasticLoadBalancingV2::Listener'
Properties:
LoadBalancerArn: !Ref myLoadBalancer
Protocol: HTTPS
Port: 443
DefaultActions:
- Type: "forward"
TargetGroupArn: !Ref myTargetGroup
SslPolicy: ELBSecurityPolicy-TLS13-1-2-2021-06
Certificates:
- CertificateArn: new-default-certificate-arn
```
------
## Ajouter des certificats à la liste des certificats
Vous pouvez ajouter des certificats à la liste destinée à votre écouteur à l'aide de la procédure qui suit. Si vous avez créé l'écouteur à l'aide du AWS Management Console, nous avons ajouté le certificat par défaut à la liste des certificats pour vous. Dans le cas contraire, la liste des certificats est vide. L'ajout du certificat par défaut à la liste des certificats garantit que ce certificat est utilisé avec le protocole SNI même s'il est remplacé en tant que certificat par défaut. Pour de plus amples informations, veuillez consulter [Certificats SSL pour votre Application Load Balancer](https-listener-certificates.md).
------
#### [ Console ]
**Pour ajouter des certificats à la liste des certificats**
1. Ouvrez la console Amazon EC2 à l’adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Dans le volet de navigation, choisissez **Load Balancers (Équilibreurs de charge)**.
1. Sélectionnez l'équilibreur de charge.
1. Dans l'onglet **Écouteurs et règles**, choisissez le texte dans la colonne **Protocol:Port** pour ouvrir la page détaillée de l'écouteur.
1. Choisissez l'onglet **Certificates (Certificats)**.
1. Pour ajouter le certificat par défaut à la liste, choisissez **Ajouter le certificat par défaut à la liste**.
1. Pour ajouter des certificats autres que ceux par défaut à la liste, procédez comme suit :
1. Choisissez **Ajouter un certificat**.
1. Pour ajouter des certificats déjà gérés par ACM ou IAM, sélectionnez les cases à cocher pour les certificats et choisissez **Inclure comme étant en attente ci-dessous**.
1. **Pour ajouter un certificat qui n'est pas géré par ACM ou IAM, choisissez **Importer un certificat**, complétez le formulaire, puis choisissez Importer.**
1. Choisissez **Ajouter des certificats en attente**.
------
#### [ AWS CLI ]
**Pour ajouter un certificat à la liste des certificats**
Utilisez la commande [add-listener-certificates](https://docs.aws.amazon.com/cli/latest/reference/elbv2/add-listener-certificates.html).
```
aws elbv2 add-listener-certificates \
--listener-arn listener-arn \
--certificates \
CertificateArn=certificate-arn-1 \
CertificateArn=certificate-arn-2 \
CertificateArn=certificate-arn-3
```
------
#### [ CloudFormation ]
**Pour ajouter des certificats à la liste des certificats**
Définissez un type de ressource [AWS::ElasticLoadBalancingV2::ListenerCertificate](https://docs.aws.amazon.com/AWSCloudFormation/latest/TemplateReference/aws-resource-elasticloadbalancingv2-listenercertificate.html).
```
Resources:
myCertificateList:
Type: 'AWS::ElasticLoadBalancingV2::ListenerCertificate'
Properties:
ListenerArn: !Ref myTLSListener
Certificates:
- CertificateArn: "certificate-arn-1"
- CertificateArn: "certificate-arn-2"
- CertificateArn: "certificate-arn-3"
```
------
## Supprimer des certificats de la liste des certificats
Vous pouvez supprimer des certificats de la liste destinée à votre écouteur HTTPS à l'aide de la procédure suivante. Une fois que vous avez supprimé un certificat, l'écouteur ne peut plus créer de connexions à l'aide de ce certificat. Pour vous assurer que les clients ne sont pas concernés, ajoutez un nouveau certificat à la liste et vérifiez que les connexions fonctionnent avant de supprimer un certificat de la liste.
Pour supprimer le certificat par défaut d'un écouteur TLS, consultez [Remplacer le certificat par défaut](#replace-default-certificate).
------
#### [ Console ]
**Pour supprimer des certificats de la liste des certificats**
1. Ouvrez la console Amazon EC2 à l’adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Dans le volet de navigation, choisissez **Load Balancers (Équilibreurs de charge)**.
1. Sélectionnez l'équilibreur de charge.
1. Dans l'onglet **Écouteurs et règles**, sélectionnez le texte dans la colonne **Protocol:Port** pour ouvrir la page détaillée de l'écouteur.
1. Dans l'onglet **Certificats**, cochez les cases des certificats, puis cliquez sur **Supprimer**.
1. À l'invite de confirmation, saisissez **confirm**, puis choisissez **Supprimer**.
------
#### [ AWS CLI ]
**Pour supprimer un certificat de la liste des certificats**
Utilisez la commande [remove-listener-certificates](https://docs.aws.amazon.com/cli/latest/reference/elbv2/remove-listener-certificates.html).
```
aws elbv2 remove-listener-certificates \
--listener-arn listener-arn \
--certificates CertificateArn=certificate-arn
```
------
## Mettre à jour la stratégie de sécurité
Lorsque vous créez un écouteur HTTPS, vous pouvez sélectionner la stratégie de sécurité qui correspond à vos besoins. Lorsqu'une nouvelle stratégie de sécurité est ajoutée, vous pouvez mettre à jour votre écouteur HTTPS afin de pouvoir l'utiliser. Application Load Balancers ne prennent pas en charge les politiques de sécurité personnalisées. Pour de plus amples informations, veuillez consulter [Politiques de sécurité pour votre Application Load Balancer](describe-ssl-policies.md).
La mise à jour de la politique de sécurité peut entraîner des perturbations si l'équilibreur de charge gère un volume de trafic élevé. Pour réduire les risques de perturbations lorsque votre équilibreur de charge gère un volume de trafic élevé, créez un équilibreur de charge supplémentaire pour aider à gérer le trafic ou demandez une réservation de LCU.
**Compatibilité**
+ Tous les écouteurs sécurisés connectés au même équilibreur de charge doivent utiliser des politiques de sécurité compatibles. Pour migrer tous les écouteurs sécurisés d'un équilibreur de charge vers des politiques de sécurité incompatibles avec celles actuellement utilisées, supprimez tous les écouteurs sécurisés sauf un, modifiez la politique de sécurité du récepteur sécurisé, puis créez des écouteurs sécurisés supplémentaires.
+ **Politiques TLS post-quantiques FIPS et politiques FIPS - Compatible**
+ **Politiques TLS post-quantiques et politiques TLS post-quantiques FIPS ou FIPS - Compatible**
+ **Politiques TLS (non FIPS non-post-quantum) et politiques TLS post-quantiques FIPS ou FIPS - Non compatibles**
+ **Politiques TLS (non FIPS non-post-quantum) et politiques TLS post-quantiques - Non compatibles**
------
#### [ Console ]
**Pour mettre à jour la politique de sécurité**
1. Ouvrez la console Amazon EC2 à l’adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Dans le volet de navigation, choisissez **Load Balancers (Équilibreurs de charge)**.
1. Sélectionnez l'équilibreur de charge.
1. Dans l'onglet **Écouteurs et règles**, sélectionnez le texte dans la colonne **Protocol:Port** pour ouvrir la page détaillée de l'écouteur.
1. Dans l'onglet **Sécurité**, choisissez **Modifier les paramètres de l'écouteur sécurisé**.
1. Dans la section **Paramètres de l'écouteur sécurisé**, sous **Politique de sécurité**, choisissez une nouvelle politique de sécurité.
1. Sélectionnez **Enregistrer les modifications**.
------
#### [ AWS CLI ]
**Pour mettre à jour la politique de sécurité**
Utilisez la commande [modify-listener](https://docs.aws.amazon.com/cli/latest/reference/elbv2/modify-listener.html).
```
aws elbv2 modify-listener \
--listener-arn listener-arn \
--ssl-policy ELBSecurityPolicy-TLS13-1-2-Res-2021-06
```
------
#### [ CloudFormation ]
**Pour mettre à jour la politique de sécurité**
Mettez à jour la [AWS::ElasticLoadBalancingV2::Listener](https://docs.aws.amazon.com/AWSCloudFormation/latest/TemplateReference/aws-resource-elasticloadbalancingv2-listener.html)ressource avec la nouvelle politique de sécurité.
```
Resources:
myHTTPSListener:
Type: 'AWS::ElasticLoadBalancingV2::Listener'
Properties:
LoadBalancerArn: !Ref myLoadBalancer
Protocol: HTTPS
Port: 443
DefaultActions:
- Type: "forward"
TargetGroupArn: !Ref myTargetGroup
SslPolicy: ELBSecurityPolicy-TLS13-1-2-2021-06
Certificates:
- CertificateArn: certificate-arn
```
------
## Modification de l'en-tête HTTP
La modification de l'en-tête HTTP vous permet de renommer des en-têtes spécifiques générés par l'équilibreur de charge, d'insérer des en-têtes de réponse spécifiques et de désactiver l'en-tête de réponse du serveur. Les équilibreurs de charge d'application prennent en charge la modification des en-têtes de demande et de réponse.
Pour de plus amples informations, veuillez consulter [Activer la modification de l'en-tête HTTP pour votre Application Load Balancer](enable-header-modification.md).