更新服务器证书
创建 HTTPS 侦听器时,请指定默认证书。您也可以通过添加其他证书来为侦听器创建证书列表。
每个证书都有有效期限。您必须确保在其有效期限结束前续订或替换证书。续订或替换证书不影响负载均衡器节点已收到的进行中的请求,并暂停指向正常运行的目标的路由。续订证书之后,新的请求将使用续订后的证书。更换证书之后,新的请求将使用新证书。
您可以按如下方式管理证书续订和替换:
限制
ACM 支持具有 4096 密钥长度的 RSA 证书和 EC 证书。但是,您无法通过与 ACM 集成在负载均衡器上安装这些证书。您必须将这些证书上传到 IAM,以便将它们与负载均衡器结合使用。
添加证书
您可使用以下过程将证书添加到侦听器的证书列表。虽然侦听器的默认证书在默认情况下不会添加到证书列表中,但您可以将默认证书添加到该证书列表中。
使用控制台添加证书
-
打开 Amazon EC2 控制台 https://console.amazonaws.cn/ec2/。
-
在导航窗格上的 LOAD BALANCING 下,选择 Load Balancers。
-
选择负载均衡器,然后选择 Listeners。
-
对于要更新的 HTTPS 侦听器,请选择 View/edit certificates (查看/编辑证书),这将显示默认证书,后跟已添加到侦听器的任何其他证书。
-
选择菜单栏中的 Add certificates (添加证书) 图标(加号),这将显示默认证书,后跟由 ACM 和 IAM 管理的任何其他证书。如果已将证书添加到侦听器,则其复选框处于选中和禁用状态。
-
要添加已由 ACM 或 IAM 管理的证书,请选中证书对应的复选框并选择 Add (添加)。
-
如果您有一个未由 ACM 或 IAM 管理的证书,则按如下方式将其导入 ACM 中,并将其添加到侦听器:
-
选择 Import certificate。
-
对于 Certificate private key,粘贴证书的 PEM 编码的未加密私有密钥。
-
对于 Certificate body,粘贴 PEM 编码的证书。
-
(可选) 对于 Certificate chain,粘贴 PEM 编码的证书链。
-
选择 Import。新导入的证书将显示在可用证书列表中并处于选中状态。
-
选择 Add。
-
-
要离开此屏幕,请选择菜单栏中的 Back to the load balancer 图标 (后退按钮)。
使用 AWS CLI 添加证书
使用 add-listener-certificates 命令。
替换默认证书
您可以使用以下过程替换侦听器的默认证书。
使用控制台更改默认证书
-
打开 Amazon EC2 控制台 https://console.amazonaws.cn/ec2/。
-
在导航窗格上的 LOAD BALANCING 下,选择 Load Balancers。
-
选择负载均衡器,然后选择 Listeners。
-
选中侦听器对应的复选框,然后选择 Edit (编辑)。
-
对于 Default SSL certificate (默认 SSL 证书),请执行下列操作之一:
-
如果使用 AWS Certificate Manager 创建或导入了证书,请选择 From ACM (来自 ACM) 并选择证书。
-
如果使用 IAM 上传了证书,则选择 From IAM (来自 IAM) 并选择证书。
-
-
选择 Save。
使用 AWS CLI 更改默认证书
使用 modify-listener 命令。
删除证书
可以随时删除 HTTPS 侦听器的非默认证书。不能使用此过程删除 HTTPS 侦听器的默认证书。
使用控制台删除证书
-
打开 Amazon EC2 控制台 https://console.amazonaws.cn/ec2/。
-
在导航窗格上的 LOAD BALANCING 下,选择 Load Balancers。
-
选择负载均衡器,然后选择 Listeners。
-
对于要更新的侦听器,请选择 View/edit certificates (查看/编辑证书),这将显示默认证书,后跟已添加到侦听器的任何其他证书。
-
在菜单栏中选择 Remove certificates 图标 (减号)。
-
选中证书对应的复选框,然后选择 Remove (删除)。
-
要离开此屏幕,请选择菜单栏中的 Back to the load balancer 图标 (后退按钮)。
使用 AWS CLI 删除证书
使用 remove-listener-certificates 命令。