本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
经典负载均衡器的 HTTPS 侦听器
您可创建对加密连接使用 SSL/TLS 协议 (也称为 SSL 卸载) 的负载均衡器。利用此功能,可对您的负载均衡器与启动 HTTPS 会话的客户端之间的流量进行加密,也可对负载均衡器与 EC2 实例之间的连接加密。
Elastic Load Balancing 使用安全套接字层 (SSL) 协商配置(称为安全策略),以便在客户端与负载均衡器之间协商连接。在对前端连接使用 HTTPS/SSL 时,可使用预定义安全策略或自定义安全策略。您必须在负载均衡器上部署 SSL 证书。负载均衡器先使用此证书终止连接,解密来自客户端的请求,然后再将请求发送到实例。负载均衡器使用静态密码套件建立后端连接。您可选择性地在您的实例上启用身份验证。
经典负载均衡器不支持服务器名称指示(SNI)。您可以改为使用以下备选项之一:
-
在负载均衡器上部署一个证书,为每个额外网站添加一个主题替代名称 (SAN)。通过 SAN,您可以使用单个证书保护多个主机名称。向证书提供商核实,了解有关他们对每个证书支持的 SAN 数以及如何添加和删除 SAN 的更多信息。
-
对于前端和后端连接,在端口 443 上使用 TCP 侦听器。负载均衡器按原样传递请求,因此您可以处理 EC2 实例上的 HTTPS 终止。
经典负载均衡器不支持双向 TLS 身份验证(mTLS)。要获得 mTLS 支持,请创建一个 TCP 侦听器。负载均衡器按原样传输请求,因此您可以在 EC2 实例上实施 mTLS。