本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 应用程序负载均衡器的 SSL 证书
<a name="https-listener-certificates"></a>

当您为应用程序负载均衡器创建安全侦听器时，必须在负载均衡器上部署至少一个证书。负载均衡器需要 X.509 证书（SSL/TLS 服务器证书）。证书是由证书颁发机构 (CA) 颁发的数字化身份。证书包含标识信息、有效期限、公有密钥、序列号以及发布者的数字签名。

在创建用于负载均衡器的证书时，您必须指定域名。证书上的域名必须与自定义域名记录匹配，以确保我们能够验证 TLS 连接。如果不匹配，则流量不会加密。

必须为证书指定完全限定域名 (FQDN)（例如 `www.example.com`）或顶点域名（例如 `example.com`）。您还可以使用星号 (\$1) 作为通配符来保护同一域中的多个站点名称。请求通配符证书时，星号 (\$1) 必须位于域名的最左侧位置，而且只能保护一个子域级别。例如，`*.example.com` 保护 `corp.example.com` 和 `images.example.com`，但无法保护 `test.login.example.com`。另请注意，`*.example.com` 仅保护 `example.com` 的子域，而不保护裸域或顶点域 (`example.com`)。通配符名称显示在证书的 **Subject**（主题）字段和 **Subject Alternative Name**（主题替代名称）扩展中。有关公有证书的更多信息，请参阅《Amazon Certificate Manager 用户指南》中的 [Request a public certificate](https://docs.amazonaws.cn/acm/latest/userguide/acm-public-certificates.html)**。

我们建议您使用 [Amazon Certificate Manager (ACM)](https://www.amazonaws.cn/certificate-manager/) 为您的负载均衡器创建证书。ACM 支持具有 2048、3072 和 4096 位密钥长度的 RSA 证书，以及所有 ECDSA 证书。ACM 与 Elastic Load Balancing 集成，以便您可以在负载均衡器上部署证书。有关更多信息，请参阅 [Amazon Certificate Manager 用户指南](https://docs.amazonaws.cn/acm/latest/userguide/)。

或者，您可以使用 SSL/TLS 工具创建证书签名请求 (CSR)，然后获取 CA 签署的 CSR 以生成证书，然后将证书导入 ACM 或将证书上传到 Amazon Identity and Access Management (IAM)。有关将证书导入 ACM 的信息，请参阅 *Amazon Certificate Manager 用户指南*中的[将证书导入](https://docs.amazonaws.cn/acm/latest/userguide/import-certificate.html)。有关将证书上传到 IAM 的更多信息，请参阅 *IAM 用户指南*中的[使用服务器证书](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_credentials_server-certs.html)。

## 默认证书
<a name="default-certificate"></a>

创建 HTTPS 侦听器时，必须仅指定一个证书。此证书称为*默认证书*。创建 HTTPS 侦听器后，您可以替换默认证书。有关更多信息，请参阅 [替换默认证书](listener-update-certificates.md#replace-default-certificate)。

如果在[证书列表](#sni-certificate-list)中指定其他证书，则仅当客户端在不使用服务器名称指示 (SNI) 协议的情况下连接以指定主机名或证书列表中没有匹配的证书时，才使用默认证书。

如果您未指定其他证书但需要通过单一负载平衡器托管多个安全应用程序，则可以使用通配符证书或为证书的每个其他域添加使用者备用名称 (SAN)。

## 证书列表
<a name="sni-certificate-list"></a>

创建 HTTPS 侦听器后，您可以向证书列表添加证书。如果您使用创建了侦听器 Amazon Web Services 管理控制台，则我们会为您将默认证书添加到证书列表中。否则，证书列表为空。使用证书列表可使负载均衡器在同一端口上支持多个域，并为每个域提供不同的证书。有关更多信息，请参阅 [将证书添加到证书列表](listener-update-certificates.md#add-certificates)。

负载均衡器使用支持 SNI 的智能证书选择算法。如果客户端提供的主机名与证书列表中的一个证书匹配，则负载均衡器将选择此证书。如果客户端提供的主机名与证书列表中的多个证书匹配，则负载均衡器将选择客户端可支持的最佳证书。根据以下标准，按下面的顺序选择证书：
+ 公有密钥算法 (ECDSA 优先于 RSA)
+ 过期时间（最好未过期）
+ 哈希算法（更喜欢 SHA 而不是 MD5）。如果有多个 SHA 证书，则优先使用 SHA 数最大的证书。
+ 密钥长度 (首选最大值)
+ 有效期

负载均衡器访问日志条目指示客户端指定的主机名和向客户端提供的证书。有关更多信息，请参阅 [访问日志条目](load-balancer-access-logs.md#access-log-entry-format)。

## 证书续订
<a name="ssl-certificate-renewal"></a>

每个证书都有有效期限。您必须确保在有效期结束之前续订或替换负载均衡器的每个证书。这包括默认证书和证书列表中的证书。续订或替换证书不影响负载均衡器节点已收到的进行中的请求，并暂停指向正常运行的目标的路由。续订证书之后，新的请求将使用续订后的证书。更换证书之后，新的请求将使用新证书。

您可以按如下方式管理证书续订和替换：
+ 由您的负载均衡器提供 Amazon Certificate Manager 并部署在您的负载均衡器上的证书可以自动续订。ACM 会尝试在到期之前续订证书。有关更多信息，请参阅 *Amazon Certificate Manager 用户指南*中的[托管续订](https://docs.amazonaws.cn/acm/latest/userguide/managed-renewal.html)。
+ 如果您将证书导入 ACM，则必须监视证书的到期日期并在到期前续订。有关更多信息，请参阅 *Amazon Certificate Manager 用户指南*中的[导入证书](https://docs.amazonaws.cn/acm/latest/userguide/import-certificate.html)。
+ 如果您已将证书导入 IAM 中，则必须创建一个新证书，将该新证书导入 ACM 或 IAM 中，将该新证书添加到负载均衡器，并从负载均衡器删除过期的证书。