Elastic Load Balancing
Application Load Balancer
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 Amazon AWS 入门

更新服务器证书

创建 HTTPS 侦听器时,请指定默认证书。您也可以通过添加其他证书来为侦听器创建证书列表。

每个证书都有有效期限。您必须确保在其有效期限结束前续订或替换证书。续订或替换证书不影响负载均衡器节点已收到的进行中的请求,并暂停指向正常运行的目标的路由。续订证书之后,新的请求将使用续订后的证书。更换证书之后,新的请求将使用新证书。

您可以按如下方式管理证书续订和替换:

  • 由 AWS Certificate Manager 提供、部署在负载均衡器上的证书可以自动续订。ACM 会尝试在到期之前续订证书。有关更多信息,请参阅 AWS Certificate Manager 用户指南 中的托管续订

  • 如果您将证书导入 ACM,则必须监视证书的到期日期并在到期前续订。有关更多信息,请参阅 AWS Certificate Manager 用户指南 中的导入证书

  • 如果您已将证书导入 IAM 中,则必须创建一个新证书,将该新证书导入 ACM 或 IAM 中,将该新证书添加到负载均衡器,并从负载均衡器删除过期的证书。

限制

ACM 支持具有 4096 密钥长度的 RSA 证书和 EC 证书。但是,您无法通过与 ACM 集成在负载均衡器上安装这些证书。您必须将这些证书上传到 IAM,以便将它们与负载均衡器结合使用。

添加证书

您可使用以下过程将证书添加到侦听器的证书列表。虽然侦听器的默认证书在默认情况下不会添加到证书列表中,但您可以将默认证书添加到该证书列表中。

使用控制台添加证书

  1. 打开 Amazon EC2 控制台 https://console.amazonaws.cn/ec2/

  2. 在导航窗格上的 LOAD BALANCING 下,选择 Load Balancers

  3. 选择负载均衡器,然后选择 Listeners

  4. 对于要更新的 HTTPS 侦听器,请选择 View/edit certificates (查看/编辑证书),这将显示默认证书,后跟已添加到侦听器的任何其他证书。

  5. 选择菜单栏中的 Add certificates 图标 (加号),这将显示默认证书,后跟由 ACM 和 IAM 管理的任何其他证书。如果已将证书添加到侦听器,则其复选框处于选中和禁用状态。

  6. 要添加已由 ACM 或 IAM 管理的证书,请选中证书对应的复选框并选择 Add (添加)

  7. 如果您有一个未由 ACM 或 IAM 管理的证书,则按如下方式将其导入 ACM 中,并将其添加到侦听器:

    1. 选择 Import certificate

    2. 对于 Certificate private key,粘贴证书的 PEM 编码的未加密私有密钥。

    3. 对于 Certificate body,粘贴 PEM 编码的证书。

    4. (可选) 对于 Certificate chain,粘贴 PEM 编码的证书链。

    5. 选择 Import。新导入的证书将显示在可用证书列表中并处于选中状态。

    6. 选择 Add

  8. 要离开此屏幕,请选择菜单栏中的 Back to the load balancer 图标 (后退按钮)。

使用 AWS CLI 添加证书

使用 add-listener-certificates 命令。

替换默认证书

您可以使用以下过程替换侦听器的默认证书。

使用控制台更改默认证书

  1. 打开 Amazon EC2 控制台 https://console.amazonaws.cn/ec2/

  2. 在导航窗格上的 LOAD BALANCING 下,选择 Load Balancers

  3. 选择负载均衡器,然后选择 Listeners

  4. 选中侦听器对应的复选框,然后选择 Edit (编辑)

  5. 对于 Default SSL certificate (默认 SSL 证书),请执行下列操作之一:

    • 如果使用 AWS Certificate Manager 创建或导入了证书,请选择 From ACM (从 ACM) 并选择证书。

    • 如果使用 IAM 上传了证书,则选择 From IAM (从 IAM) 并选择证书。

  6. 选择 Save

使用 AWS CLI 更改默认证书

使用 modify-listener 命令。

删除证书

可以随时删除 HTTPS 侦听器的非默认证书。不能使用此过程删除 HTTPS 侦听器的默认证书。

使用控制台删除证书

  1. 打开 Amazon EC2 控制台 https://console.amazonaws.cn/ec2/

  2. 在导航窗格上的 LOAD BALANCING 下,选择 Load Balancers

  3. 选择负载均衡器,然后选择 Listeners

  4. 对于要更新的侦听器,请选择 View/edit certificates (查看/编辑证书),这将显示默认证书,后跟已添加到侦听器的任何其他证书。

  5. 在菜单栏中选择 Remove certificates 图标 (减号)。

  6. 选中证书对应的复选框,然后选择 Remove (删除)

  7. 要离开此屏幕,请选择菜单栏中的 Back to the load balancer 图标 (后退按钮)。

使用 AWS CLI 删除证书

使用 remove-listener-certificates 命令。