为您的 Application Load Balancer 创建 HTTPS 侦听器 - Elastic Load Balancing
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

为您的 Application Load Balancer 创建 HTTPS 侦听器

侦听器检查连接请求。您可在创建负载均衡器时定义侦听器,并可随时向负载均衡器添加侦听器。

要创建 HTTPS 侦听器,您必须在负载均衡器上部署至少一个 SSL 服务器证书。负载均衡器先使用服务器证书终止前端连接,再解密来自客户端的请求,然后将请求发送到目标。您还必须指定一个安全策略,以用于协商客户端与负载均衡器之间的安全连接。

如果需要将加密流量传输至目标且负载均衡器不对其进行解密,则可以创建一个使用端口 443 上的 TCP 侦听器的网络负载均衡器或经典负载均衡器。通过 TCP 侦听器,负载均衡器将加密流量传递到目标,而不会对其进行解密。

此页面上的信息可帮助您为负载均衡器创建 HTTPS 侦听器。要向您的负载均衡器添加 HTTP 侦听器,请参阅 为您的 Application Load Balancer 创建 HTTP 侦听器

先决条件

  • 要创建 HTTPS 侦听器,您必须指定证书和安全策略。负载均衡器先使用证书终止连接,然后解密来自客户端的请求,最后再将请求路由到目标。负载均衡器在协商与客户端的 SSL 连接时会使用安全策略。

    应用程序负载均衡器不支持 ED25519 密钥。

  • 要将转发操作添加到默认侦听器规则,您必须指定可用的目标组。有关更多信息,请参阅 为您的应用程序负载均衡器创建目标组

  • 您可以在多个侦听器中指定同一个目标组,但这些侦听器必须属于同一个负载均衡器。要将目标组与负载均衡器结合使用,您必须确认其没有被任何其他负载均衡器的侦听器使用。

添加 HTTPS 侦听器

您为侦听器配置用于从客户端连接到负载均衡器的协议和端口,并为默认侦听器规则配置目标组。有关更多信息,请参阅 侦听器配置

使用控制台添加 HTTPS 侦听器
  1. 打开 Amazon EC2 控制台,网址为https://console.aws.amazon.com/ec2/

  2. 在导航窗格中,选择负载均衡器

  3. 选择负载均衡器。

  4. 侦听器和规则选项卡上,选择添加侦听器

  5. 对于协议:端口,选择 HTTPS 并保留默认端口或者输入其他端口。

  6. (可选)要启用身份验证,请在身份验证下选择使用 OpenID 或 Amazon Cognito,并提供所请求的信息。有关更多信息,请参阅 使用 Application Load Balancer 验证用户身份

  7. 对于 Default actions (默认操作),请执行下列操作之一:

    • 转发给目标组 – 选择一个或多个要将流量转发到其中的目标组。要添加目标组,请选择添加目标组。如果使用多个目标组,请为每个目标组选择权重并查看相关联的百分比。如果已对一个或多个目标组启用粘性,则必须在规则上启用组级粘性。

    • 重定向到 URL – 指定客户端请求将重定向到的 URL。可以通过如下方式完成此操作:在 URI 部分选项卡上分别输入每个部分,或者在完整 URL 选项卡上输入完整的地址。对于状态代码,您可以将重定向配置为临时(HTTP 302)或永久(HTTP 301)。

    • 返回固定响应 – 指定将返回到已删除客户端请求的响应代码。此外,您以指定内容类型响应正文,但它们不是必需的。

  8. 对于安全策略,建议您始终使用最新的预定义安全策略。

  9. 对于默认 SSL/TLS 证书,以下选项可用:

    • 如果您使用创建或导入了证书 Amazon Certificate Manager,请选择来自 ACM,然后从 “选择证书” 中选择证书

    • 如果使用 IAM 导入了证书,请选择从 IAM,然后在选择证书中选择该证书。

    • 如果您有要导入的证书,但您所在的区域不提供 ACM,请选择导入,然后选择到 IAM。在证书名称字段中输入证书的名称。在证书私有密钥中,复制并粘贴私有密钥文件(PEM 编码的文件)的内容。在证书正文中,复制并粘贴公有密钥证书文件(PEM 编码的文件)的内容。在 Certificate Chain 中,复制并粘贴证书链文件(PEM 编码的文件)的内容,除非您使用的是自签名证书并且浏览器是否隐式接受证书并不重要。

  10. (可选)要启用双向身份验证,请在客户端证书处理下启用双向身份验证(mTLS)

    启用后,默认双向 TLS 模式为传递

    如果选择使用信任存储进行验证

    • 默认情况下,客户端证书已过期的连接会被拒绝。要更改此行为,请展开高级 mTLS 设置,然后在客户端证书过期下选择允许过期的客户证书

    • 信任存储下,选择现有信任存储,或选择新建信任存储

      • 如果选择新建信任存储,请提供信任存储名称S3 URI 证书颁发机构位置,或者选择一个 S3 URI 证书吊销列表位置

    • (可选)选择是否要启用 “宣传 TrustStore CA 主题名称”。

  11. 选择保存

要添加 HTTPS 侦听器,请使用 Amazon CLI

使用 create-listener 命令可创建侦听器和默认规则,使用 create-rule 命令可定义更多侦听器规则。