替换传统负载均衡器的 SSL 证书
如果您有 HTTPS 侦听器,在创建侦听器时已在负载均衡器上部署了 SSL 服务器证书。每个证书都有有效期限。您必须确保在其有效期限结束前续订或替换证书。
由 AWS Certificate Manager 提供、部署在负载均衡器上的证书可以自动续订。ACM 会尝试在到期之前续订证书。有关更多信息,请参阅 AWS Certificate Manager 用户指南 中的托管续订。如果您将证书导入 ACM,则必须监视证书的到期日期并在到期前续订。有关更多信息,请参阅 AWS Certificate Manager 用户指南 中的导入证书。续订部署在负载均衡器上的证书之后,新请求使用续订的证书。
要替换证书,您必须先按照在首次创建当前证书时使用的相同步骤操作来创建新证书。然后,您可以替换该证书。替换部署在负载均衡器上的证书之后,新请求使用新的证书。
请注意,续订或替换证书不影响负载均衡器节点已收到的请求,并暂停指向正常运行的目标的路由。
使用控制台替换 SSL 证书
您可以使用 ACM 提供的证书或上传到 IAM 的证书替换负载均衡器上部署的证书。
替换 HTTPS 负载均衡器的 SSL 证书
-
打开 Amazon EC2 控制台 https://console.amazonaws.cn/ec2/。
-
在导航窗格上的 LOAD BALANCING 下,选择 Load Balancers。
-
选择您的负载均衡器。
-
在 Listeners 选项卡上,对于 SSL Certificate,选择 Change。
-
在 Select Certificate 页面上,执行下列操作之一:
-
如果使用 AWS Certificate Manager 创建或导入了证书,请选择 Choose an existing certificate from AWS Certificate Manager (ACM),从 Certificate 中选择证书,然后选择 Save。
-
如果使用 IAM 导入了证书,请选择 Choose an existing certificate from AWS Identity and Access Management (IAM),从 Certificate 中选择证书,然后选择 Save。
-
如果要导入证书,但该区域不支持 ACM,请选择 Upload a new SSL Certificate to AWS Identity and Access Management (IAM)。输入证书名称,将所需信息复制到表格,然后选择 Save。请注意,如果证书是自签名证书,则不需要证书链。
-
使用 AWS CLI 替换 SSL 证书
您可以使用 ACM 提供的证书或上传到 IAM 的证书替换负载均衡器上部署的证书。
使用 ACM 提供的证书替换 SSL 证书
-
使用以下 request-certificate 命令请求新的证书:
aws acm request-certificate --domain-namewww.example.com -
使用以下 set-load-balancer-listener-ssl-certificate 命令设置证书:
aws elb set-load-balancer-listener-ssl-certificate --load-balancer-namemy-load-balancer--load-balancer-port 443 --ssl-certificate-id arn:aws-cn:acm:region:123456789012:certificate/12345678-1234-1234-1234-123456789012
使用已上传到 IAM 的证书替换 SSL 证书
-
如果您有未上传的 SSL 证书,请参阅IAM 用户指南中的上传服务器证书。
-
使用以下 get-server-certificate 命令获取证书的 ARN:
aws iam get-server-certificate --server-certificate-namemy-new-certificate -
使用以下 set-load-balancer-listener-ssl-certificate 命令设置证书:
aws elb set-load-balancer-listener-ssl-certificate --load-balancer-namemy-load-balancer--load-balancer-port 443 --ssl-certificate-id arn:aws-cn:iam::123456789012:server-certificate/my-new-certificate
