Elastic Load Balancing
传统负载均衡器
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 Amazon AWS 入门

传统负载均衡器的 SSL 协商配置

Elastic Load Balancing 使用安全套接字层 (SSL) 协商配置 (称为安全策略) 在客户端与负载均衡器之间协商 SSL 连接。安全策略是 SSL 协议、SSL 密码和服务器顺序首选项选项的组合。有关为负载均衡器配置 SSL 连接的更多信息,请参阅传统负载均衡器的侦听器

安全策略

安全策略确定在客户端与负载均衡器之间进行 SSL 协商期间受支持的密码和协议。您可以配置自己的 Classic Load Balancer以使用预定义或自定义的安全策略。

注意 AWS Certificate Manager (ACM) 提供的证书包含一个 RSA 公钥。因此,如果您使用 ACM 提供的证书,则安全策略必须包括一个使用 RSA 的密码包;否则,TLS 连接会失败。

预定义安全策略

最新预定义安全策略的名称包括发布预定义安全策略的年份和月份的版本信息。例如,默认预定义安全策略为 ELBSecurityPolicy-2016-08。只要发布新的预定义安全策略,您就能更新配置以使用它。

有关为预定义安全策略启用的协议和密码的信息,请参阅 预定义 SSL 安全策略

自定义安全策略

您可使用所需的密码和协议创建自定义协商配置。例如,某些安全合规性标准 (如 PCI 和 SOC) 可能需要一组特定协议和密码,以确保符合安全标准。在这种情况下,可创建自定义安全策略来符合这些标准。

有关创建自定义安全策略的信息,请参阅 更新传统负载均衡器的 SSL 协商配置

SSL 协议

SSL 协议 在客户端与服务器之间建立安全连接,确保在客户端与负载均衡器之间传递的所有数据都是私密的。

安全套接字层 (SSL) 和传输层安全性 (TLS) 是用于对通过不安全网络 (如 Internet) 传输的机密数据进行加密的加密协议。TLS 协议是更新版本的 SSL 协议。在 Elastic Load Balancing 文档中,我们将 SSL 和 TLS 协议都称为 SSL 协议。

SSL 协议

支持以下版本的 SSL 协议:

  • TLS 1.2

  • TLS 1.1

  • TLS 1.0

  • SSL 3.0

已弃用 SSL 协议

如果以前在自定义策略中启用了 SSL 2.0 协议,我们建议您将安全策略更新到默认预定义安全策略。

服务器顺序首选项

Elastic Load Balancing 支持服务器顺序首选项 选项,该选项用于协商客户端与负载均衡器之间的连接。在 SSL 连接协商过程中,客户端和负载均衡器会按首选项顺序提供各自支持的密码和协议的列表。默认情况下,会为 SSL 连接选择客户端列表中与任何一个负载均衡器的密码匹配的第一个密码。如果负载均衡器配置为支持服务器顺序首选项,则负载均衡器会在其列表中选择位于客户端的密码列表中的第一个密码。这可确保由负载均衡器确定用于 SSL 连接的密码。如果您未启用服务器顺序首选项,则使用客户端提供的密码顺序来协商客户端与负载均衡器之间的连接。

SSL 密码

SSL 密码 是一种加密算法,它使用加密密钥创建编码的消息。SSL 协议使用多种 SSL 密码对 Internet 上的数据进行加密。

注意 AWS Certificate Manager (ACM) 提供的证书包含一个 RSA 公钥。因此,如果您使用 ACM 提供的证书,则安全策略必须包括一个使用 RSA 的密码包;否则,TLS 连接会失败。

Elastic Load Balancing 支持将以下密码用于 Classic Load Balancer。预定义的 SSL 策略使用这些密码的子集。所有这些密码可用于自定义策略中。我们建议您仅使用默认安全策略 (带有星号) 中包括的密码。其他许多密码并不安全,需要自行承担使用风险。

密码

  • ECDHE-ECDSA-AES128- GCM-SHA256 *

  • ECDHE-RSA-AES128- GCM-SHA256 *

  • ECDHE-ECDSA-AES128-SHA256 *

  • ECDHE-RSA-AES128-SHA256 *

  • ECDHE-ECDSA-AES128-SHA *

  • ECDHE-RSA-AES128-SHA *

  • DHE-RSA-AES128-SHA

  • ECDHE-ECDSA-AES256- GCM-SHA384 *

  • ECDHE-RSA-AES256- GCM-SHA384 *

  • ECDHE-ECDSA-AES256-SHA384 *

  • ECDHE-RSA-AES256-SHA384 *

  • ECDHE-RSA-AES256-SHA *

  • ECDHE-ECDSA-AES256-SHA *

  • AES128-GCM-SHA256 *

  • AES128-SHA256 *

  • AES128-SHA *

  • AES256-GCM-SHA384 *

  • AES256-SHA256 *

  • AES256-SHA *

  • DHE-DSS-AES128-SHA

  • CAMELLIA128-SHA

  • EDH-RSA-DES-CBC3-SHA

  • DES-CBC3-SHA

  • ECDHE-RSA-RC4-SHA

  • RC4-SHA

  • ECDHE-ECDSA-RC4-SHA

  • DHE-DSS-AES256-GCM-SHA384

  • DHE-RSA-AES256-GCM-SHA384

  • DHE-RSA-AES256-SHA256

  • DHE-DSS-AES256-SHA256

  • DHE-RSA-AES256-SHA

  • DHE-DSS-AES256-SHA

  • DHE-RSA-CAMELLIA256-SHA

  • DHE-DSS-CAMELLIA256-SHA

  • CAMELLIA256-SHA

  • EDH-DSS-DES-CBC3-SHA

  • DHE-DSS-AES128-GCM-SHA256

  • DHE-RSA-AES128-GCM-SHA256

  • DHE-RSA-AES128-SHA256

  • DHE-DSS-AES128-SHA256

  • DHE-RSA-CAMELLIA128-SHA

  • DHE-DSS-CAMELLIA128-SHA

  • ADH-AES128-GCM-SHA256

  • ADH-AES128-SHA

  • ADH-AES128-SHA256

  • ADH-AES256-GCM-SHA384

  • ADH-AES256-SHA

  • ADH-AES256-SHA256

  • ADH-CAMELLIA128-SHA

  • ADH-CAMELLIA256-SHA

  • ADH-DES-CBC3-SHA

  • ADH-DES-CBC-SHA

  • ADH-RC4-MD5

  • ADH-SEED-SHA

  • DES-CBC-SHA

  • DHE-DSS-SEED-SHA

  • DHE-RSA-SEED-SHA

  • EDH-DSS-DES-CBC-SHA

  • EDH-RSA-DES-CBC-SHA

  • IDEA-CBC-SHA

  • RC4-MD5

  • SEED-SHA

  • DES-CBC3-MD5

  • DES-CBC-MD5

  • RC2-CBC-MD5

  • PSK-AES256-CBC-SHA

  • PSK-3DES-EDE-CBC-SHA

  • KRB5-DES-CBC3-SHA

  • KRB5-DES-CBC3-MD5

  • PSK-AES128-CBC-SHA

  • PSK-RC4-SHA

  • KRB5-RC4-SHA

  • KRB5-RC4-MD5

  • KRB5-DES-CBC-SHA

  • KRB5-DES-CBC-MD5

  • EXP-EDH-RSA-DES-CBC-SHA

  • EXP-EDH-DSS-DES-CBC-SHA

  • EXP-ADH-DES-CBC-SHA

  • EXP-DES-CBC-SHA

  • EXP-RC2-CBC-MD5

  • EXP-KRB5-RC2-CBC-SHA

  • EXP-KRB5-DES-CBC-SHA

  • EXP-KRB5-RC2-CBC-MD5

  • EXP-KRB5-DES-CBC-MD5

  • EXP-ADH-RC4-MD5

  • EXP-RC4-MD5

  • EXP-KRB5-RC4-SHA

  • EXP-KRB5-RC4-MD5

* 这些是包括在默认安全策略中的建议密码。