经典负载均衡器的预定义 SSL 安全策略 - Elastic Load Balancing
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

经典负载均衡器的预定义 SSL 安全策略

您可以为 HTTPS/SSL 侦听器选择预定义的安全策略之一。我们建议您使用默认的安全策略 ELBSecurityPolicy-2016-08 以确保兼容性。您可以使用 ELBSecurityPolicy-TLS 策略之一来满足要求禁用某些 TLS 协议版本的合规性和安全标准。或者,您也可以创建自定义安全策略。有关更多信息,请参阅 更新 SSL 协商配置

基于 RSA 和 DSA 的密码特定于用于创建 SSL 证书的签名算法。请确保使用基于为安全策略启用的密码的签名算法来创建 SSL 证书。

如果选择为“服务器顺序首选项”启用的策略,则负载均衡器会按密码在这里的指定顺序使用密码,以协商客户端与负载均衡器之间的连接。否则,负载均衡器会按客户端提供的密码的顺序使用密码。

下表列出了经典负载均衡器的最新预定义安全策略,包括其启用的 SSL 协议、SSL 密码和默认策略 ELBSecurityPolicy-2016-08。为了使策略名称能够容纳在标题行中,已将 ELBSecurityPolicy- 从名称中删除。

提示

此表仅适用于经典负载均衡器。有关适用于其他负载均衡器的信息,请参阅适用于 Application Load Balancer 的安全策略适用于 Network Load Balancer 的安全策略

安全策略 2016-08 TLS-1-1-2017-01 TLS-1-2-2017-01 2015-05 2015-03 2015-02
SSL 协议

Protocol-TLSv1

Protocol-TLSv1.1

Protocol-TLSv1.2
SSL 选项

服务器顺序首选项
SSL 密码

ECDHE-ECDSA-AES128- GCM-SHA256

ECDHE-RSA-AES128- GCM-SHA256

ECDHE-ECDSA-AES128-SHA256

ECDHE-RSA-AES128-SHA256

ECDHE-ECDSA-AES128-SHA
ECDHE-RSA-AES128-SHA
DHE-RSA-AES128-SHA
ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-RSA-AES256-GCM-SHA384
ECDHE-ECDSA-AES256-SHA384
ECDHE-RSA-AES256-SHA384
ECDHE-RSA-AES256-SHA
ECDHE-ECDSA-AES256-SHA
AES128-GCM-SHA256
AES128-SHA256
AES128-SHA
AES256-GCM-SHA384
AES256-SHA256
AES256-SHA
DHE-DSS-AES128-SHA
DES-CBC3-SHA
预定义安全策略

下面是经典负载均衡器的预定义安全策略。要描述预定义的策略,请使用 describe-load-balancer-policies 命令。

  • ELBSecurityPolicy-2016-08

  • ELBSecurityPolicy-TLS-1-2-2017-01

  • ELBSecurityPolicy-TLS-1-1-2017-01

  • ELBSecurityPolicy-2015-05

  • ELBSecurityPolicy-2015-03

  • ELBSecurityPolicy-2015-02

  • ELBSecurityPolicy-2014-10

  • ELBSecurityPolicy-2014-01

  • ELBSecurityPolicy-2011-08

  • ELBSample-ELBDefaultNegotiationPolicy 或 ELBSample-ELBDefaultCipherPolicy

  • ELBSample-OpenSSLDefaultNegotiationPolicy 或 ELBSample-OpenSSLDefaultCipherPolicy