经典负载均衡器的 SSL 协商配置

ELB 使用安全套接字层 (SSL) 协商配置（称为安全策略）来协商客户端和负载均衡器之间的 SSL 连接。安全策略是 SSL 协议、SSL 密码和服务器顺序首选项选项的组合。有关为负载均衡器配置 SSL 连接的更多信息，请参阅经典负载均衡器的侦听器。

安全策略

安全策略确定在客户端与负载均衡器之间进行 SSL 协商期间受支持的密码和协议。您可以配置自己的经典负载均衡器以使用预定义或自定义的安全策略。

请注意，由 Amazon Certificate Manager (ACM) 提供的证书包含 RSA 公钥。因此，如果您使用 ACM 提供的证书，则安全策略必须包括一个使用 RSA 的密码包；否则，TLS 连接会失败。

预定义安全策略

最新预定义安全策略的名称包括发布预定义安全策略的年份和月份的版本信息。例如，默认预定义安全策略为 ELBSecurityPolicy-2016-08。只要发布新的预定义安全策略，您就能更新配置以使用它。

有关为预定义安全策略启用的协议和密码的信息，请参阅经典负载均衡器的预定义 SSL 安全策略。

自定义安全策略

您可使用所需的密码和协议创建自定义协商配置。例如，某些安全合规性标准 (如 PCI 和 SOC) 可能需要一组特定协议和密码，以确保符合安全标准。在这种情况下，可创建自定义安全策略来符合这些标准。

有关创建自定义安全策略的信息，请参阅更新经典负载均衡器的 SSL 协商配置。

SSL 协议

SSL 协议 在客户端与服务器之间建立安全连接，确保在客户端与负载均衡器之间传递的所有数据都是私密的。

安全套接字层 (SSL) 和传输层安全性 (TLS) 是用于对通过不安全网络（如 Internet）传输的机密数据进行加密的加密协议。TLS 协议是更新版本的 SSL 协议。在 ELB 文档中，我们将 SSL 和 TLS 协议都称为 SSL 协议。

已弃用的协议

如果之前在自定义策略中启用了 SSL 2.0 协议，我们推荐您将安全策略更新到预定义安全策略之一。

服务器顺序首选项

ELB 支持服务器顺序首选项选项，用于协商客户端和负载均衡器之间的连接。在 SSL 连接协商过程中，客户端和负载均衡器会按首选项顺序提供各自支持的密码和协议的列表。默认情况下，会为 SSL 连接选择客户端列表中与任何一个负载均衡器的密码匹配的第一个密码。如果负载均衡器配置为支持服务器顺序首选项，则负载均衡器会在其列表中选择位于客户端的密码列表中的第一个密码。这可确保由负载均衡器确定用于 SSL 连接的密码。如果您未启用服务器顺序首选项，则使用客户端提供的密码顺序来协商客户端与负载均衡器之间的连接。

SSL 密码

SSL 密码 是一种加密算法，它使用加密密钥创建编码的消息。SSL 协议使用多种 SSL 密码对 Internet 上的数据进行加密。

ELB 支持以下密码用于经典负载均衡器。预定义的 SSL 策略使用这些密码的子集。所有这些密码可用于自定义策略中。我们建议您仅使用默认安全策略 (带有星号) 中包括的密码。其他许多密码并不安全，需要自行承担使用风险。

密码

ECDHE-ECDSA--GCM-* AES128 SHA256
ECDHE-RSA--GCM-* AES128 SHA256
ECDHE-ECDSA--* AES128 SHA256
ECDHE-RSA--* AES128 SHA256
ECDHE-ECDSA--SHA * AES128
ECDHE-RSA--SHA * AES128
DHE-RSA--SHA AES128
ECDHE-ECDSA--GCM-* AES256 SHA384
ECDHE-RSA--GCM-* AES256 SHA384
ECDHE-ECDSA--* AES256 SHA384
ECDHE-RSA--* AES256 SHA384
ECDHE-RSA--SHA * AES256
ECDHE-ECDSA--SHA * AES256
AES128-GCM-* SHA256
AES128-SHA256 *
AES128-SHA *
AES256-GCM-* SHA384
AES256-SHA256 *
AES256-SHA *
DHE-DSS-SHA AES128
CAMELLIA128-SHA
EDH-RSA-DES-SHA CBC3
DES CBC3--SHA
ECDHE-RSA--SHA RC4
RC4-SHA
ECDHE-ECDSA--SHA RC4
DHE-DSS--GCM-AES256 SHA384
DHE-RSA--GCM-AES256 SHA384
DHE-RSA--AES256 SHA256
DHE-DSS--AES256 SHA256
DHE-RSA--SHA AES256
DHE-DSS-SHA AES256
DHE-RSA--SHA CAMELLIA256
DHE-DSS-SHA CAMELLIA256
CAMELLIA256-SHA
EDH-DSS-DES-SHA CBC3
DHE-DSS--GCM-AES128 SHA256
DHE-RSA--GCM-AES128 SHA256
DHE-RSA--AES128 SHA256
DHE-DSS--AES128 SHA256
DHE-RSA--SHA CAMELLIA128
DHE-DSS-SHA CAMELLIA128
ADH-AES128-GCM-SHA256
ADH AES128--SHA
ADH-AES128-SHA256
ADH-AES256-GCM-SHA384
ADH AES256--SHA
ADH-AES256-SHA256
ADH CAMELLIA128--SHA
ADH CAMELLIA256--SHA
ADH-DES--SHA CBC3
ADH-DES-CBC-SHA
ADH-RC4-MD5
ADH-SEED-SHA
DES-CBC-SHA
DHE-DSS-SEED-SHA
DHE-RSA-SEED-SHA
EDH-DSS-DES-CBC-SHA
EDH-RSA-DES-CBC-SHA
IDEA-CBC-SHA
RC4-MD5
SEED-SHA
DES-CBC3-MD5
DES-CBC-MD5
RC2-加拿大广播公司-MD5
PSK--CBC-SH AES256 A
PSK-3DES-EDE-CBC-SHA
KRB5-DES--SH CBC3 A
KRB5-DES--CBC3 MD5
PSK--CBC-SH AES128 A
PSK--SH RC4 A
KRB5-RC4-SHA
KRB5-RC4-MD5
KRB5-des-CBC-SHA
KRB5-DES-CBC-MD5
EXP-EDH-RSA-DES-CBC-SHA
EXP-EDH-DSS-DES-CBC-SHA
EXP-ADH-DES-CBC-SHA
EXP-DES-CBC-SHA
EXP-RC2-CBC-MD5
EXP-KRB5--CBC-SHA RC2
EXP--DES-CBC-SHA KRB5
EXP-KRB5-RC2-CBC-MD5
EXP--DES KRB5-CBC-MD5
EXP-ADH--RC4 MD5
EXP--RC4 MD5
EXP-KRB5--SHA RC4
EXP-KRB5--RC4 MD5

* 这些是默认安全策略 Policy-2016-08 中包含的密码。 ELBSecurity

用于后端连接的密码套件

经典负载均衡器使用静态密码套件建立后端连接。如果您的经典负载均衡器和注册实例无法协商连接，请包含以下密码之一。

AES256-GCM-SHA384
AES256-SHA256
AES256-SHA
CAMELLIA256-SHA
AES128-GCM-SHA256
AES128-SHA256
AES128-SHA
CAMELLIA128-SHA
RC4-SHA
DES CBC3--SHA
DES-CBC-SHA
DHE-DSS--GCM-AES256 SHA384
DHE-RSA--GCM-AES256 SHA384
DHE-RSA--AES256 SHA256
DHE-DSS--AES256 SHA256
DHE-RSA--SHA AES256
DHE-DSS-SHA AES256
DHE-RSA--SHA CAMELLIA256
DHE-DSS-SHA CAMELLIA256
DHE-DSS--GCM-AES128 SHA256
DHE-RSA--GCM-AES128 SHA256
DHE-RSA--AES128 SHA256
DHE-DSS--AES128 SHA256
DHE-RSA--SHA AES128
DHE-DSS-SHA AES128
DHE-RSA--SHA CAMELLIA128
DHE-DSS-SHA CAMELLIA128
EDH-RSA-DES-SHA CBC3
EDH-DSS-DES-SHA CBC3
EDH-RSA-DES-CBC-SHA
EDH-DSS-DES-CBC-SHA

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

SSL/TLS 证书

预定义 SSL 安全策略