本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
为您的 Application Load Balancer 创建 HTTPS 侦听器
侦听器检查连接请求。您可在创建负载均衡器时定义侦听器,并可随时向负载均衡器添加侦听器。
要创建 HTTPS 侦听器,您必须在负载均衡器上部署至少一个 SSL 服务器证书。负载均衡器先使用服务器证书终止前端连接,再解密来自客户端的请求,然后将请求发送到目标。您还必须指定一个安全策略,以用于协商客户端与负载均衡器之间的安全连接。
如果需要将加密流量传输至目标且负载均衡器不对其进行解密,则可以创建一个使用端口 443 上的 TCP 侦听器的网络负载均衡器或经典负载均衡器。通过 TCP 侦听器,负载均衡器将加密流量传递到目标,而不会对其进行解密。
此页面上的信息可帮助您为负载均衡器创建 HTTPS 侦听器。要向您的负载均衡器添加 HTTP 侦听器,请参阅 为您的 Application Load Balancer 创建 HTTP 侦听器。
先决条件
-
要创建 HTTPS 侦听器,您必须指定证书和安全策略。负载均衡器先使用证书终止连接,然后解密来自客户端的请求,最后再将请求路由到目标。负载均衡器在协商与客户端的 SSL 连接时会使用安全策略。
应用程序负载均衡器不支持 ED25519 密钥。
-
要将转发操作添加到默认侦听器规则,您必须指定可用的目标组。有关更多信息,请参阅 为您的应用程序负载均衡器创建目标组。
-
您可以在多个侦听器中指定同一个目标组,但这些侦听器必须属于同一个负载均衡器。要将目标组与负载均衡器结合使用,您必须确认其没有被任何其他负载均衡器的侦听器使用。
添加 HTTPS 侦听器
您为侦听器配置用于从客户端连接到负载均衡器的协议和端口,并为默认侦听器规则配置目标组。有关更多信息,请参阅 侦听器配置。
使用控制台添加 HTTPS 侦听器
打开 Amazon EC2 控制台,网址为https://console.aws.amazon.com/ec2/
。 -
在导航窗格中,选择负载均衡器。
-
选择负载均衡器。
-
在侦听器和规则选项卡上,选择添加侦听器。
-
对于协议:端口,选择 HTTPS 并保留默认端口或者输入其他端口。
-
(可选)要启用身份验证,请在身份验证下选择使用 OpenID 或 Amazon Cognito,并提供所请求的信息。有关更多信息,请参阅 使用 Application Load Balancer 验证用户身份。
-
对于 “路由” 操作,请执行以下任一操作:
-
转发到目标群组-选择要将流量转发到的目标群组。要添加目标组,请选择添加目标组。如果使用多个目标组,请为每个目标组选择权重并查看相关联的百分比。如果已对一个或多个目标组启用粘性,则必须在规则上启用组级粘性。
-
重定向到 URL-输入客户端请求将被重定向到的 URL。可以通过如下方式完成此操作:在 URI 部分选项卡上分别输入每个部分,或者在完整 URL 选项卡上输入完整的地址。对于状态代码,您可以将重定向配置为临时(HTTP 302)或永久(HTTP 301)。
-
返回固定响应-输入响应代码以返回已删除的客户端请求。或者,您可以指定内容类型和响应正文。
-
-
对于安全策略,建议您始终使用最新的预定义安全策略。
-
对于默认 SSL/TLS 证书,请选择默认证书。我们还将默认证书添加到 SNI 列表中。您可以从以下来源之一中选择证书:
-
如果您使用创建或导入了证书 Amazon Certificate Manager,请选择从 ACM,然后从证书(来自 ACM)中选择证书。
-
如果您使用 IAM 导入了证书,请选择从 IAM,然后从证书(来自 IAM)中选择证书。
-
如果您有证书,请选择导入证书。选择 “导入到 ACM” 或 “导入到 IAM”。对于证书私钥,请复制并粘贴私钥文件(PEM 编码)的内容。对于证书正文,复制并粘贴公钥证书文件(PEM 编码)的内容。对于证书链,请复制并粘贴证书链文件(PEM 编码)的内容,除非您使用的是自签名证书,并且浏览器是否隐式接受证书并不重要。
-
-
(可选)要启用相互身份验证,请在 “客户端证书处理” 下启用相互身份验证 (mTLS)。
启用后,默认双向 TLS 模式为传递。
如果选择使用信任存储进行验证:
-
默认情况下,客户端证书已过期的连接会被拒绝。要更改此行为,请展开高级 mTLS 设置,然后在客户端证书过期下选择允许过期的客户证书。
-
在信任存储下,选择现有信任存储,或选择新建信任存储。
-
如果选择新建信任存储,请提供信任存储名称、S3 URI 证书颁发机构位置,或者选择一个 S3 URI 证书吊销列表位置。
-
-
(可选)选择是否要启用 “宣传 TrustStore CA 主题名称”。
-
-
选择添加。
-
要将证书添加到可选证书列表中,请参阅将证书添加到证书列表。
要添加 HTTPS 侦听器,请使用 Amazon CLI
使用 create-listener 命令可创建侦听器和默认规则,使用 create-rule 命令可定义更多侦听器规则。