替换 Classic Load Balancer 的 SSL 证书
如果您有 HTTPS 侦听器,在创建侦听器时已在负载均衡器上部署了 SSL 服务器证书。每个证书都有有效期限。您必须确保在其有效期限结束前续订或替换证书。
由 Amazon Certificate Manager 提供、部署在负载均衡器上的证书可以自动续订。ACM 会尝试在到期之前续订证书。有关更多信息,请参阅 Amazon Certificate Manager 用户指南中的托管续订。如果您将证书导入 ACM,则必须监视证书的到期日期并在到期前续订。有关更多信息,请参阅 Amazon Certificate Manager 用户指南中的导入证书。续订部署在负载均衡器上的证书之后,新请求使用续订的证书。
要替换证书,您必须先按照在首次创建当前证书时使用的相同步骤操作来创建新证书。然后,您可以替换该证书。替换部署在负载均衡器上的证书之后,新请求使用新的证书。
请注意,续订或替换证书不影响负载均衡器节点已收到的请求,并暂停指向正常运行的目标的路由。
使用控制台替换 SSL 证书
您可以使用 ACM 提供的证书或上传到 IAM 的证书替换负载均衡器上部署的证书。
替换 HTTPS 负载均衡器的 SSL 证书
-
通过以下网址打开 Amazon EC2 控制台:https://console.aws.amazon.com/ec2/
。 -
在导航窗格上的 LOAD BALANCING 下,选择 Load Balancers。
-
选择您的负载均衡器。
-
在 Listeners 选项卡上,对于 SSL Certificate,选择 Change。
-
在 Select Certificate 页面上,执行下列操作之一:
-
如果您使用 Amazon Certificate Manager 创建或导入了证书,请选择 Choose an existing certificate from Amazon Certificate Manager (ACM),然后从 Certificate 选择证书,再选择 Save。
-
如果使用 IAM 导入了证书,请选择 Choose an existing certificate from Amazon Identity and Access Management (IAM),再从 Certificate 选择现有证书,然后选择 Save。
-
如果要导入证书,但该区域不支持 ,请选择将新的 SSL 证书上传到 Amazon Identity and Access Management (IAM)。输入证书名称,将所需信息复制到表格,然后选择 Save。请注意,如果证书是自签名证书,则不需要证书链。
-
使用 Amazon CLI 替换 SSL 证书
您可以使用 ACM 提供的证书或上传到 IAM 的证书替换负载均衡器上部署的证书。
使用 ACM 提供的证书替换 SSL 证书
-
使用以下 request-certificate 命令请求新的证书:
aws acm request-certificate --domain-name
www.example.com
-
使用以下 set-load-balancer-listener-ssl-certificate 命令设置证书:
aws elb set-load-balancer-listener-ssl-certificate --load-balancer-name
my-load-balancer
--load-balancer-port 443 --ssl-certificate-id arn:aws:acm:region
:123456789012
:certificate/12345678-1234-1234-1234-123456789012
使用已上传到 IAM 的证书替换 SSL 证书
-
如果您有未上传的 SSL 证书,请参阅 IAM 用户指南中的上传服务器证书。
-
使用以下 get-server-certificate 命令获取证书的 ARN:
aws iam get-server-certificate --server-certificate-name
my-new-certificate
-
使用以下 set-load-balancer-listener-ssl-certificate 命令设置证书:
aws elb set-load-balancer-listener-ssl-certificate --load-balancer-name
my-load-balancer
--load-balancer-port 443 --ssl-certificate-id arn:aws:iam::123456789012
:server-certificate/my-new-certificate