为您的 Application Load Balancer 创建 HTTPS 侦听器

使用控制台添加 HTTPS 侦听器

1. 打开 Amazon EC2 控制台，网址为https://console.aws.amazon.com/ec2/。

2. 在导航窗格中，选择负载均衡器。

3. 选择负载均衡器。

4. 在侦听器和规则选项卡上，选择添加侦听器。

5. 对于协议：端口，选择 HTTPS 并保留默认端口或者输入其他端口。

6. （可选）要启用身份验证，请在身份验证下选择使用 OpenID 或 Amazon Cognito，并提供所请求的信息。有关更多信息，请参阅 使用 Application Load Balancer 验证用户身份。

7. 对于 “路由” 操作，请执行以下任一操作：

   • 转发到目标群组-选择要将流量转发到的目标群组。要添加目标组，请选择添加目标组。如果使用多个目标组，请为每个目标组选择权重并查看相关联的百分比。如果已对一个或多个目标组启用粘性，则必须在规则上启用组级粘性。

   • 重定向到 URL-输入客户端请求将被重定向到的 URL。可以通过如下方式完成此操作：在 URI 部分选项卡上分别输入每个部分，或者在完整 URL 选项卡上输入完整的地址。对于状态代码，您可以将重定向配置为临时（HTTP 302）或永久（HTTP 301）。

   • 返回固定响应-输入响应代码以返回已删除的客户端请求。或者，您可以指定内容类型和响应正文。

8. 对于安全策略，建议您始终使用最新的预定义安全策略。

9. 对于默认 SSL/TLS 证书，请选择默认证书。我们还将默认证书添加到 SNI 列表中。您可以从以下来源之一中选择证书：

   • 如果您使用创建或导入了证书 Amazon Certificate Manager，请选择从 ACM，然后从证书（来自 ACM）中选择证书。

   • 如果您使用 IAM 导入了证书，请选择从 IAM，然后从证书（来自 IAM）中选择证书。

   • 如果您有证书，请选择导入证书。选择 “导入到 ACM” 或 “导入到 IAM”。对于证书私钥，请复制并粘贴私钥文件（PEM 编码）的内容。对于证书正文，复制并粘贴公钥证书文件（PEM 编码）的内容。对于证书链，请复制并粘贴证书链文件（PEM 编码）的内容，除非您使用的是自签名证书，并且浏览器是否隐式接受证书并不重要。

10. （可选）要启用相互身份验证，请在 “客户端证书处理” 下启用相互身份验证 (mTLS)。

    启用后，默认双向 TLS 模式为传递。

    如果选择使用信任存储进行验证：

    • 默认情况下，客户端证书已过期的连接会被拒绝。要更改此行为，请展开高级 mTLS 设置，然后在客户端证书过期下选择允许过期的客户证书。

    • 在信任存储下，选择现有信任存储，或选择新建信任存储。

      • 如果选择新建信任存储，请提供信任存储名称、S3 URI 证书颁发机构位置，或者选择一个 S3 URI 证书吊销列表位置。

    • （可选）选择是否要启用 “宣传 TrustStore CA 主题名称”。

11. 选择添加。

12. 要将证书添加到可选证书列表中，请参阅将证书添加到证书列表。