为您的 Application Load Balancer 创建 HTTPS 侦听器

使用控制台添加 HTTPS 侦听器

1. 打开 Amazon EC2 控制台，网址为https://console.aws.amazon.com/ec2/。

2. 在导航窗格中，选择负载均衡器。

3. 选择负载均衡器。

4. 在侦听器和规则选项卡上，选择添加侦听器。

5. 对于协议：端口，选择 HTTPS 并保留默认端口或者输入其他端口。

6. （可选）要启用身份验证，请在身份验证下选择使用 OpenID 或 Amazon Cognito，并提供所请求的信息。有关更多信息，请参阅 使用 Application Load Balancer 验证用户身份。

7. 对于 Default actions (默认操作)，请执行下列操作之一：

   • 转发给目标组 – 选择一个或多个要将流量转发到其中的目标组。要添加目标组，请选择添加目标组。如果使用多个目标组，请为每个目标组选择权重并查看相关联的百分比。如果已对一个或多个目标组启用粘性，则必须在规则上启用组级粘性。

   • 重定向到 URL – 指定客户端请求将重定向到的 URL。可以通过如下方式完成此操作：在 URI 部分选项卡上分别输入每个部分，或者在完整 URL 选项卡上输入完整的地址。对于状态代码，您可以将重定向配置为临时（HTTP 302）或永久（HTTP 301）。

   • 返回固定响应 – 指定将返回到已删除客户端请求的响应代码。此外，您以指定内容类型和响应正文，但它们不是必需的。

8. 对于安全策略，建议您始终使用最新的预定义安全策略。

9. 对于默认 SSL/TLS 证书，以下选项可用：

   • 如果您使用创建或导入了证书 Amazon Certificate Manager，请选择来自 ACM，然后从 “选择证书” 中选择证书。

   • 如果使用 IAM 导入了证书，请选择从 IAM，然后在选择证书中选择该证书。

   • 如果您有要导入的证书，但您所在的区域不提供 ACM，请选择导入，然后选择到 IAM。在证书名称字段中输入证书的名称。在证书私有密钥中，复制并粘贴私有密钥文件（PEM 编码的文件）的内容。在证书正文中，复制并粘贴公有密钥证书文件（PEM 编码的文件）的内容。在 Certificate Chain 中，复制并粘贴证书链文件（PEM 编码的文件）的内容，除非您使用的是自签名证书并且浏览器是否隐式接受证书并不重要。

10. （可选）要启用双向身份验证，请在客户端证书处理下启用双向身份验证（mTLS）。

    启用后，默认双向 TLS 模式为传递。

    如果选择使用信任存储进行验证：

    • 默认情况下，客户端证书已过期的连接会被拒绝。要更改此行为，请展开高级 mTLS 设置，然后在客户端证书过期下选择允许过期的客户证书。

    • 在信任存储下，选择现有信任存储，或选择新建信任存储。

      • 如果选择新建信任存储，请提供信任存储名称、S3 URI 证书颁发机构位置，或者选择一个 S3 URI 证书吊销列表位置。

    • （可选）选择是否要启用 “宣传 TrustStore CA 主题名称”。

11. 选择保存。