Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅
中国的 Amazon Web Services 服务入门
(PDF)。
为您的 Application Load Balancer 更新 HTTPS 侦听器
创建 HTTPS 侦听器后,您可以替换默认证书、更新证书列表或替换安全策略。
替换默认证书
您可以使用以下过程替换侦听器的默认证书。有关更多信息,请参阅 默认证书。
- Console
-
替换默认证书
通过以下网址打开 Amazon EC2 控制台:https://console.aws.amazon.com/ec2/。
-
在导航窗格中,选择负载均衡器。
-
选择负载均衡器。
-
在侦听器和规则选项卡上,选择协议:端口列中的文本以打开侦听器的详细信息页面。
-
在证书选项卡上,选择更改默认值。
-
在 ACM 和 IAM 证书表中,选择新的默认证书。
-
(可选)默认情况下,我们会选择将之前的默认证书添加到侦听器证书列表中。我们建议您保持此选项的选中状态,除非您当前没有用于 SNI 的侦听器证书且依赖于 TLS 会话恢复功能。
-
选择另存为默认值。
- Amazon CLI
-
替换默认证书
使用 modify-listener 命令。
aws elbv2 modify-listener \
--listener-arn listener-arn \
--certificates CertificateArn=new-default-certificate-arn
- CloudFormation
-
替换默认证书
更新 AWS::ElasticLoadBalancingV2::Listener。
Resources:
myHTTPSListener:
Type: 'AWS::ElasticLoadBalancingV2::Listener'
Properties:
LoadBalancerArn: !Ref myLoadBalancer
Protocol: HTTPS
Port: 443
DefaultActions:
- Type: "forward"
TargetGroupArn: !Ref myTargetGroup
SslPolicy: ELBSecurityPolicy-TLS13-1-2-2021-06
Certificates:
- CertificateArn: new-default-certificate-arn
将证书添加到证书列表
您可使用以下过程将证书添加到侦听器的证书列表。如果侦听器是使用 Amazon Web Services 管理控制台创建的,则我们会为您将默认证书添加到证书列表中。否则,证书列表为空。您可以将默认证书添加到证书列表,以确保此证书与 SNI 协议一起使用,即使默认证书被替换亦不例外。有关更多信息,请参阅 应用程序负载均衡器的 SSL 证书。
- Console
-
将证书添加到证书列表
通过以下网址打开 Amazon EC2 控制台:https://console.aws.amazon.com/ec2/。
-
在导航窗格中,选择负载均衡器。
-
选择负载均衡器。
-
在侦听器和规则选项卡上,选择协议:端口列中的文本以打开侦听器的详细信息页面。
-
选择 Certificates (证书) 选项卡。
-
要将默认证书添加到列表,请选择将默认值添加到列表。
-
要将非默认证书添加到列表,请执行以下操作:
-
选择添加证书。
-
要添加已由 ACM 或 IAM 管理的证书,请选中证书对应的复选框并选择在下面以待注册的形式添加。
-
要添加非由 ACM 或 IAM 管理的证书,请选择导入证书,填写表格,然后选择导入。
-
选择添加待处理证书。
- Amazon CLI
-
将证书添加到证书列表
使用 add-listener-certificates 命令。
aws elbv2 add-listener-certificates \
--listener-arn listener-arn \
--certificates \
CertificateArn=certificate-arn-1 \
CertificateArn=certificate-arn-2 \
CertificateArn=certificate-arn-3
- CloudFormation
-
将证书添加到证书列表
定义 AWS::ElasticLoadBalancingV2::ListenerCertificate 类型的资源。
Resources:
myCertificateList:
Type: 'AWS::ElasticLoadBalancingV2::ListenerCertificate'
Properties:
ListenerArn: !Ref myTLSListener
Certificates:
- CertificateArn: "certificate-arn-1"
- CertificateArn: "certificate-arn-2"
- CertificateArn: "certificate-arn-3"
从证书列表中删除证书
您可以使用以下过程从 HTTPS 侦听器的证书列表中删除证书。移除证书后,侦听器将无法再使用该证书建立连接。为确保客户端不受影响,在从列表中移除证书之前,请先将新的证书添加至列表并确认连接功能正常。
要删除 TLS 侦听器的默认证书,请参阅替换默认证书。
- Console
-
从证书列表中移除证书
通过以下网址打开 Amazon EC2 控制台:https://console.aws.amazon.com/ec2/。
-
在导航窗格中,选择负载均衡器。
-
选择负载均衡器。
-
在侦听器和规则选项卡上,选择协议:端口列中的文本以打开侦听器的详细信息页面。
-
在证书选项卡上,选中证书对应的复选框,然后选择删除。
-
提示进行确认时,输入 confirm,然后选择删除。
- Amazon CLI
-
从证书列表中移除证书
使用 remove-listener-certificates 命令。
aws elbv2 remove-listener-certificates \
--listener-arn listener-arn \
--certificates CertificateArn=certificate-arn
更新安全策略
在创建 HTTPS 侦听器时,您可以选择满足您的需求的安全策略。添加新的安全策略后,您可以将 HTTPS 侦听器更新为使用此新安全策略。Application Load Balancer 不支持自定义安全策略。有关更多信息,请参阅 应用程序负载均衡器的安全策略。
如果负载均衡器正在处理大量流量,则更新安全策略可能会导致中断。为降低负载均衡器处理大量流量时的中断风险,请创建额外的负载均衡器来分担流量,或请求 LCU 预留。
在应用程序负载均衡器上使用 FIPS 策略
附加到应用程序负载均衡器的所有安全侦听器都必须使用 FIPS 安全策略或非 FIPS 安全策略;它们不能混合使用。如果现有应用程序负载均衡器有两个或更多使用非 FIPS 策略的侦听器,并且您希望侦听器改用 FIPS 安全策略,请删除所有侦听器,直到只有一个为止。将侦听器的安全策略更改为 FIPS,然后使用 FIPS 安全策略创建其他侦听器。或者,您可以仅使用 FIPS 安全策略创建具有新侦听器的新应用程序负载均衡器。
- Console
-
更新安全策略
通过以下网址打开 Amazon EC2 控制台:https://console.aws.amazon.com/ec2/。
-
在导航窗格中,选择负载均衡器。
-
选择负载均衡器。
-
在侦听器和规则选项卡上,选择协议:端口列中的文本以打开侦听器的详细信息页面。
-
在安全选项卡上,选择编辑安全侦听器设置。
-
在安全侦听器设置部分的安全策略下,选择新的安全策略。
-
选择保存更改。
- Amazon CLI
-
更新安全策略
使用 modify-listener 命令。
aws elbv2 modify-listener \
--listener-arn listener-arn \
--ssl-policy ELBSecurityPolicy-TLS13-1-2-Res-2021-06
- CloudFormation
-
更新安全策略
使用新安全策略更新 AWS::ElasticLoadBalancingV2::Listener 资源。
Resources:
myHTTPSListener:
Type: 'AWS::ElasticLoadBalancingV2::Listener'
Properties:
LoadBalancerArn: !Ref myLoadBalancer
Protocol: HTTPS
Port: 443
DefaultActions:
- Type: "forward"
TargetGroupArn: !Ref myTargetGroup
SslPolicy: ELBSecurityPolicy-TLS13-1-2-2021-06
Certificates:
- CertificateArn: certificate-arn
通过修改 HTTP 标头,您可以重命名特定负载均衡器生成的标头、插入特定的响应标头以及禁用服务器响应标头。应用程序负载均衡器的请求标头和响应标头都支持标头修改。
有关更多信息,请参阅 为应用程序负载均衡器启用 HTTP 标头修改。