经典负载均衡器的 SSL 协商配置 - Elastic Load Balancing
安全策略SSL 协议服务器顺序首选项SSL 密码
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

经典负载均衡器的 SSL 协商配置

Elastic Load Balancing 使用一个安全套接字层 (SSL) 协商配置(称为安全策略)在客户端与负载均衡器之间协商 SSL 连接。安全策略是 SSL 协议、SSL 密码和服务器顺序首选项选项的组合。有关为负载均衡器配置 SSL 连接的更多信息,请参阅经典负载均衡器的侦听器

目录

安全策略

安全策略确定在客户端与负载均衡器之间进行 SSL 协商期间受支持的密码和协议。您可以配置自己的经典负载均衡器以使用预定义或自定义的安全策略。

请注意,Amazon Certificate Manager (ACM) 提供的证书包含一个 RSA 公钥。因此,如果您使用 ACM 提供的证书,则安全策略必须包括一个使用 RSA 的密码包;否则,TLS 连接会失败。

预定义安全策略

最新预定义安全策略的名称包括发布预定义安全策略的年份和月份的版本信息。例如,默认预定义安全策略为 ELBSecurityPolicy-2016-08。只要发布新的预定义安全策略,您就能更新配置以使用它。

有关为预定义安全策略启用的协议和密码的信息,请参阅 预定义 SSL 安全策略

自定义安全策略

您可使用所需的密码和协议创建自定义协商配置。例如,某些安全合规性标准 (如 PCI 和 SOC) 可能需要一组特定协议和密码,以确保符合安全标准。在这种情况下,可创建自定义安全策略来符合这些标准。

有关创建自定义安全策略的信息,请参阅 更新经典负载均衡器的 SSL 协商配置

SSL 协议

SSL 协议 在客户端与服务器之间建立安全连接,确保在客户端与负载均衡器之间传递的所有数据都是私密的。

安全套接字层 (SSL) 和传输层安全性 (TLS) 是用于对通过不安全网络(如 Internet)传输的机密数据进行加密的加密协议。TLS 协议是更新版本的 SSL 协议。在 Elastic Load Balancing 文档中,我们将 SSL 和 TLS 协议都称为 SSL 协议。

推荐的协议

我们推荐 TLS 1.2,TLS 1.2 可在 ELBSecurityPolicy-TLS-1-2-2017-01 预定义的安全策略中使用。您也可以在自定义安全策略中使用 TLS 1.2。默认的安全策略支持 TLS 1.2 和 TLS 的早期版本,因此安全性不及 ELBSecurityPolicy-TLS-1-2-2017-01。

已弃用的协议

如果之前在自定义策略中启用了 SSL 2.0 协议,我们推荐您将安全策略更新到预定义安全策略之一。

服务器顺序首选项

Elastic Load Balancing 支持服务器顺序首选项选项,该选项用于协商客户端与负载均衡器之间的连接。在 SSL 连接协商过程中,客户端和负载均衡器会按首选项顺序提供各自支持的密码和协议的列表。默认情况下,会为 SSL 连接选择客户端列表中与任何一个负载均衡器的密码匹配的第一个密码。如果负载均衡器配置为支持服务器顺序首选项,则负载均衡器会在其列表中选择位于客户端的密码列表中的第一个密码。这可确保由负载均衡器确定用于 SSL 连接的密码。如果您未启用服务器顺序首选项,则使用客户端提供的密码顺序来协商客户端与负载均衡器之间的连接。

SSL 密码

SSL 密码 是一种加密算法,它使用加密密钥创建编码的消息。SSL 协议使用多种 SSL 密码对 Internet 上的数据进行加密。

请注意,Amazon Certificate Manager (ACM) 提供的证书包含一个 RSA 公钥。因此,如果您使用 ACM 提供的证书,则安全策略必须包括一个使用 RSA 的密码包;否则,TLS 连接会失败。

Elastic Load Balancing 支持以下密码以用于经典负载均衡器。预定义的 SSL 策略使用这些密码的子集。所有这些密码可用于自定义策略中。我们建议您仅使用默认安全策略 (带有星号) 中包括的密码。其他许多密码并不安全,需要自行承担使用风险。

密码

  • ECDHE-ECDSA-AES128- GCM-SHA256 *

  • ECDHE-RSA-AES128- GCM-SHA256 *

  • ECDHE-ECDSA-AES128-SHA256 *

  • ECDHE-RSA-AES128-SHA256 *

  • ECDHE-ECDSA-AES128-SHA *

  • ECDHE-RSA-AES128-SHA *

  • DHE-RSA-AES128-SHA

  • ECDHE-ECDSA-AES256- GCM-SHA384 *

  • ECDHE-RSA-AES256- GCM-SHA384 *

  • ECDHE-ECDSA-AES256-SHA384 *

  • ECDHE-RSA-AES256-SHA384 *

  • ECDHE-RSA-AES256-SHA *

  • ECDHE-ECDSA-AES256-SHA *

  • AES128-GCM-SHA256 *

  • AES128-SHA256 *

  • AES128-SHA *

  • AES256-GCM-SHA384 *

  • AES256-SHA256 *

  • AES256-SHA *

  • DHE-DSS-AES128-SHA

  • CAMELLIA128-SHA

  • EDH-RSA-DES-CBC3-SHA

  • DES-CBC3-SHA

  • ECDHE-RSA-RC4-SHA

  • RC4-SHA

  • ECDHE-ECDSA-RC4-SHA

  • DHE-DSS-AES256-GCM-SHA384

  • DHE-RSA-AES256-GCM-SHA384

  • DHE-RSA-AES256-SHA256

  • DHE-DSS-AES256-SHA256

  • DHE-RSA-AES256-SHA

  • DHE-DSS-AES256-SHA

  • DHE-RSA-CAMELLIA256-SHA

  • DHE-DSS-CAMELLIA256-SHA

  • CAMELLIA256-SHA

  • EDH-DSS-DES-CBC3-SHA

  • DHE-DSS-AES128-GCM-SHA256

  • DHE-RSA-AES128-GCM-SHA256

  • DHE-RSA-AES128-SHA256

  • DHE-DSS-AES128-SHA256

  • DHE-RSA-CAMELLIA128-SHA

  • DHE-DSS-CAMELLIA128-SHA

  • ADH-AES128-GCM-SHA256

  • ADH-AES128-SHA

  • ADH-AES128-SHA256

  • ADH-AES256-GCM-SHA384

  • ADH-AES256-SHA

  • ADH-AES256-SHA256

  • ADH-CAMELLIA128-SHA

  • ADH-CAMELLIA256-SHA

  • ADH-DES-CBC3-SHA

  • ADH-DES-CBC-SHA

  • ADH-RC4-MD5

  • ADH-SEED-SHA

  • DES-CBC-SHA

  • DHE-DSS-SEED-SHA

  • DHE-RSA-SEED-SHA

  • EDH-DSS-DES-CBC-SHA

  • EDH-RSA-DES-CBC-SHA

  • IDEA-CBC-SHA

  • RC4-MD5

  • SEED-SHA

  • DES-CBC3-MD5

  • DES-CBC-MD5

  • RC2-CBC-MD5

  • PSK-AES256-CBC-SHA

  • PSK-3DES-EDE-CBC-SHA

  • KRB5-DES-CBC3-SHA

  • KRB5-DES-CBC3-MD5

  • PSK-AES128-CBC-SHA

  • PSK-RC4-SHA

  • KRB5-RC4-SHA

  • KRB5-RC4-MD5

  • KRB5-DES-CBC-SHA

  • KRB5-DES-CBC-MD5

  • EXP-EDH-RSA-DES-CBC-SHA

  • EXP-EDH-DSS-DES-CBC-SHA

  • EXP-ADH-DES-CBC-SHA

  • EXP-DES-CBC-SHA

  • EXP-RC2-CBC-MD5

  • EXP-KRB5-RC2-CBC-SHA

  • EXP-KRB5-DES-CBC-SHA

  • EXP-KRB5-RC2-CBC-MD5

  • EXP-KRB5-DES-CBC-MD5

  • EXP-ADH-RC4-MD5

  • EXP-RC4-MD5

  • EXP-KRB5-RC4-SHA

  • EXP-KRB5-RC4-MD5

* 这些是包括在默认安全策略中的建议密码。