替换经典负载均衡器的 SSL 证书 - Elastic Load Balancing
使用控制台替换 SSL 证书使用 Amazon CLI 替换 SSL 证书
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

替换经典负载均衡器的 SSL 证书

如果您有 HTTPS 侦听器,在创建侦听器时已在负载均衡器上部署了 SSL 服务器证书。每个证书都有有效期限。您必须确保在其有效期限结束前续订或替换证书。

由 Amazon Certificate Manager 提供、部署在负载均衡器上的证书可以自动续订。ACM 会尝试在到期之前续订证书。有关更多信息,请参阅 Amazon Certificate Manager 用户指南中的托管续订。如果您将证书导入 ACM,则必须监视证书的到期日期并在到期前续订。有关更多信息,请参阅 Amazon Certificate Manager 用户指南中的导入证书。续订部署在负载均衡器上的证书之后,新请求使用续订的证书。

要替换证书,您必须先按照在首次创建当前证书时使用的相同步骤操作来创建新证书。然后,您可以替换该证书。替换部署在负载均衡器上的证书之后,新请求使用新的证书。

请注意,续订或替换证书不影响负载均衡器节点已收到的请求,并暂停指向正常运行的目标的路由。

使用控制台替换 SSL 证书

您可以使用 ACM 提供的证书或上传到 IAM 的证书替换负载均衡器上部署的证书。

New EC2 experience
替换 HTTPS 负载均衡器的 SSL 证书

  1. 通过以下网址打开 Amazon EC2 控制台:https://console.aws.amazon.com/ec2/

  2. 在导航窗格上的 Load Balancing(负载均衡)下,选择 Load Balancers(负载均衡器)。

  3. 选择负载均衡器的名称以打开其详细信息页面。

  4. 侦听器选项卡上,选择管理侦听器

  5. 管理侦听器页面上,找到要更新的侦听器,再选择默认 SSL 证书下的编辑,然后执行以下操作之一:

    • 如果使用 Amazon Certificate Manager 创建或导入了证书,请选择从 ACM 并从列表中选择该证书,然后选择保存更改

      注意

      此选项只在支持 的区域中可用Amazon Certificate Manager

    • 如果使用 IAM 导入了证书,请选择从 IAM 并从列表中选择该证书,然后选择保存更改

    • 如果您有 SSL 证书要导入到 ACM,请选择导入到 ACM。在证书私有密钥中,复制并粘贴 PEM 编码的私有密钥文件的内容。在证书正文中,复制并粘贴 PEM 编码的公有密钥证书文件的内容。在证书链 – 可选中,复制并粘贴 PEM 编码的证书链文件的内容,除非您使用的是自行签名的证书并且浏览器是否隐式接受证书并不重要。

    • 如果您有要导入的 SSL 证书,但该区域不支持 ACM,请选择导入到 IAM。在证书名称字段中输入证书的名称。在证书私有密钥中,复制并粘贴 PEM 编码的私有密钥文件的内容。在证书正文中,复制并粘贴 PEM 编码的公有密钥证书文件的内容。在证书链 – 可选中,复制并粘贴 PEM 编码的证书链文件的内容,除非您使用的是自行签名的证书并且浏览器是否隐式接受证书并不重要。

    • 选择保存更改

Old EC2 experience
替换 HTTPS 负载均衡器的 SSL 证书

  1. 通过以下网址打开 Amazon EC2 控制台:https://console.aws.amazon.com/ec2/

  2. 在导航窗格上的 Load Balancing(负载均衡)下,选择 Load Balancers(负载均衡器)。

  3. 选择您的负载均衡器。

  4. Listeners 选项卡上,对于 SSL Certificate,选择 Change

  5. Select Certificate 页面上,执行下列操作之一:

    • 如果您使用 Amazon Certificate Manager 创建或导入了证书,请选择 Choose an existing certificate from Amazon Certificate Manager (ACM),然后从 Certificate 选择证书,再选择 Save

    • 如果使用 IAM 导入了证书,请选择 Choose an existing certificate from Amazon Identity and Access Management (IAM),再从 Certificate 选择现有证书,然后选择 Save

    • 如果要导入证书,但该区域不支持 ,请选择将新的 SSL 证书上传到 Amazon Identity and Access Management (IAM)。输入证书名称,将所需信息复制到表格,然后选择 Save。请注意,如果证书是自签名证书,则不需要证书链。

使用 Amazon CLI 替换 SSL 证书

您可以使用 ACM 提供的证书或上传到 IAM 的证书替换负载均衡器上部署的证书。

使用 ACM 提供的证书替换 SSL 证书

  1. 使用以下 request-certificate 命令请求新的证书:

    aws acm request-certificate --domain-name www.example.com

  2. 使用以下 set-load-balancer-listener-ssl-certificate 命令设置证书:

    aws elb set-load-balancer-listener-ssl-certificate --load-balancer-name my-load-balancer --load-balancer-port 443 --ssl-certificate-id arn:aws:acm:region:123456789012:certificate/12345678-1234-1234-1234-123456789012
使用已上传到 IAM 的证书替换 SSL 证书

  1. 如果您有未上传的 SSL 证书,请参阅 IAM 用户指南中的上传服务器证书

  2. 使用以下 get-server-certificate 命令获取证书的 ARN:

    aws iam get-server-certificate --server-certificate-name my-new-certificate

  3. 使用以下 set-load-balancer-listener-ssl-certificate 命令设置证书:

    aws elb set-load-balancer-listener-ssl-certificate --load-balancer-name my-load-balancer --load-balancer-port 443 --ssl-certificate-id arn:aws:iam::123456789012:server-certificate/my-new-certificate