Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Migrer les certificats SSL Windows vers un Application Load Balancer à l'aide d'ACM
*Chandra Sekhar Yaratha et Igor Kovalchuk, Amazon Web Services*
## Résumé
Le modèle fournit des conseils sur l'utilisation d'AWS Certificate Manager (ACM) pour migrer des certificats SSL (Secure Sockets Layer) existants à partir de sites Web hébergés sur des serveurs sur site ou d'instances Amazon Elastic Compute Cloud (Amazon EC2) sur Microsoft Internet Information Services (IIS). Les certificats SSL peuvent ensuite être utilisés avec Elastic Load Balancing sur AWS.
Le protocole SSL protège vos données, affirme votre identité, améliore le classement dans les moteurs de recherche, aide à répondre aux exigences de la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) et améliore la confiance des clients. Les développeurs et les équipes informatiques qui gèrent ces charges de travail souhaitent que leurs applications Web et leur infrastructure, y compris le serveur IIS et Windows Server, restent conformes à leurs politiques de base.
Ce modèle couvre l'exportation manuelle des certificats SSL existants depuis Microsoft IIS, leur conversion du format Personal Information Exchange (PFX) au format Private Enhanced Mail (PEM) pris en charge par ACM, puis leur importation dans ACM sur votre compte AWS. Il décrit également comment créer un Application Load Balancer pour votre application et configurer l'Application Load Balancer pour utiliser vos certificats importés. Les connexions HTTPS sont ensuite interrompues sur l'Application Load Balancer, et vous n'avez pas besoin de surcharger davantage la configuration du serveur Web. Pour plus d'informations, consultez [Créer un écouteur HTTPS pour votre Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-https-listener.html).
Les serveurs Windows utilisent des fichiers .pfx ou .p12 pour contenir le fichier de clé publique (certificat SSL) et son fichier de clé privée unique. L'autorité de certification (CA) vous fournit votre fichier de clé publique. Vous utilisez votre serveur pour générer le fichier de clé privée associé dans lequel la demande de signature de certificat (CSR) a été créée.
## Conditions préalables et limitations
**Conditions préalables**
+ Un compte AWS actif
+ Un cloud privé virtuel (VPC) sur AWS avec au moins un sous-réseau privé et un sous-réseau public dans chaque zone de disponibilité utilisée par vos cibles
+ IIS version 8.0 ou ultérieure s'exécutant sur Windows Server 2012 ou version ultérieure
+ Une application Web exécutée sur IIS
+ Accès administrateur au serveur IIS
## Architecture
**Pile technologique source**
+ Implémentation du serveur Web IIS avec SSL pour garantir que les données sont transmises en toute sécurité dans le cadre d'une connexion cryptée (HTTPS)
**Architecture source**
![\[Architecture source pour la migration des certificats SSL Windows vers Application Load Balancer à l'aide d'ACM\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/images/pattern-img/cad6e465-da39-4819-970e-10e1c30e0a1f/images/e63efb6f-205b-4e20-a043-6bc954470191.png)
**Pile technologique cible**
+ Certificats ACM dans votre compte AWS
+ Application Load Balancer configuré pour utiliser des certificats importés
+ Instances Windows Server dans les sous-réseaux privés
**Architecture cible**
![\[Architecture cible pour la migration des certificats SSL Windows vers Application Load Balancer à l'aide d'ACM\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/images/pattern-img/cad6e465-da39-4819-970e-10e1c30e0a1f/images/45ac7fba-fbad-4c74-9b1f-80ca212dae08.png)
## Outils
+ [AWS Certificate Manager (ACM)](https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html) vous aide à créer, stocker et renouveler des certificats et clés SSL/TLS X.509 publics et privés qui protègent vos sites Web et applications AWS.
+ [Elastic Load Balancing (ELB)](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/what-is-load-balancing.html) répartit le trafic applicatif ou réseau entrant sur plusieurs cibles. Par exemple, vous pouvez répartir le trafic entre les EC2 instances, les conteneurs et les adresses IP dans une ou plusieurs zones de disponibilité.
## Bonnes pratiques
+ Appliquez les redirections de trafic de HTTP vers HTTPS.
+ Configurez correctement les groupes de sécurité pour votre Application Load Balancer afin d'autoriser le trafic entrant uniquement vers des ports spécifiques.
+ Lancez vos EC2 instances dans différentes zones de disponibilité pour garantir une haute disponibilité.
+ Configurez le domaine de votre application pour qu'il pointe vers le nom DNS de l'équilibreur de charge d'application au lieu de son adresse IP.
+ [Assurez-vous que les contrôles de santé de la couche application sont configurés dans l'Application Load Balancer.](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/target-group-health-checks.html)
+ Configurez le seuil pour les contrôles de santé.
+ Utilisez [Amazon CloudWatch](https://aws.amazon.com/cloudwatch/) pour surveiller l'Application Load Balancer.
## Épopées
### Exporter un fichier .pfx
| Sous-tâche | Description | Compétences requises |
| --- | --- | --- |
| Exportez le fichier .pfx depuis Windows Server. | Pour exporter le certificat SSL sous forme de fichier .pfx depuis le gestionnaire IIS local de Windows Server :[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/migrate-windows-ssl-certificates-to-an-application-load-balancer-using-acm.html)Votre fichier .pfx doit maintenant être enregistré à l'emplacement et au chemin que vous avez spécifiés. | Administrateur de systèmes |
### Convertir le certificat codé au format PFX au format PEM
| Sous-tâche | Description | Compétences requises |
| --- | --- | --- |
| Téléchargez et installez le kit d'outils OpenSSL. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/migrate-windows-ssl-certificates-to-an-application-load-balancer-using-acm.html) | Administrateur de systèmes |
| Convertissez le certificat codé au format PFX au format PEM. | Les étapes suivantes convertissent le fichier de certificat signé codé au format PFX en trois fichiers au format PEM :[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/migrate-windows-ssl-certificates-to-an-application-load-balancer-using-acm.html)Pour convertir le certificat codé au format PFX :[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/migrate-windows-ssl-certificates-to-an-application-load-balancer-using-acm.html) | Administrateur de systèmes |
### Importer un certificat dans ACM
| Sous-tâche | Description | Compétences requises |
| --- | --- | --- |
| Préparez-vous à importer le certificat. | Sur la [console ACM](https://console.aws.amazon.com/acm/home), choisissez **Importer un certificat**. | Administrateur du cloud |
| Indiquez le corps du certificat. | Pour **Corps du certificat**, collez le certificat codé PEM que vous souhaitez importer. Pour plus d'informations sur les commandes et les étapes décrites dans ce livre et sur les autres tâches décrites dans cette épopée, consultez la section [Importation d'un certificat](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate-api-cli.html) dans la documentation d'ACM. | Administrateur du cloud |
| Fournissez la clé privée du certificat. | Pour **Certificate private key**, collez la clé privée codée PEM, non chiffrée, correspondant à la clé publique du certificat. | Administrateur du cloud |
| Fournissez la chaîne de certificats. | Pour **Chaîne de certificats**, collez la chaîne de certificats codée PEM, qui est stockée dans le `CertificateChain.pem` fichier. | Administrateur du cloud |
| Importez le certificat. | Choisissez **Review and import** (Vérifier et importer). Vérifiez que les informations relatives à votre certificat sont correctes, puis choisissez **Importer**. | Administrateur du cloud |
### Création d'un Application Load Balancer
| Sous-tâche | Description | Compétences requises |
| --- | --- | --- |
| Créez et configurez l'équilibreur de charge et les écouteurs. | Suivez les instructions de la [documentation d'Elastic Load Balancing](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-application-load-balancer.html) pour configurer un groupe cible, enregistrer des cibles et créer un Application Load Balancer et un écouteur. Ajoutez un deuxième écouteur (HTTPS) pour le port 443. | Administrateur du cloud |
## Résolution des problèmes
| Problème | Solution |
| --- | --- |
| Windows PowerShell ne reconnaît pas la commande OpenSSL même après l'avoir ajoutée au chemin du système. | Vérifiez `$env:path` qu'il inclut l'emplacement des fichiers binaires OpenSSL.Si ce n'est pas le cas, exécutez la commande suivante dans PowerShell :$env:path = $env:path + ";C:\OpenSSL-Win64\bin"
|
## Ressources connexes
**Importer un certificat dans ACM**
+ [Console ACM](https://console.aws.amazon.com/acm/home)
+ [Format du certificat et de la clé pour l'importation](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate-format.html)
+ [Importer un certificat](https://aws.amazon.com/blogs/security/how-to-import-pfx-formatted-certificates-into-aws-certificate-manager-using-openssl/)
+ [Guide de l'utilisateur d'AWS Certificate Manager](https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html)
**Création d'un Application Load Balancer**
+ [Création d'un Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-application-load-balancer.html)
+ [Guide de l'utilisateur de l'Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/introduction.html)