经典负载均衡器的 SSL/TLS 证书 - 弹性负载均衡
使用 创建或导入 SSL/TLS 证书Amazon Certificate Manager使用 IAM 导入 SSL/TLS 证书
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

经典负载均衡器的 SSL/TLS 证书

如果前端侦听器使用 HTTPS (SSL 或 TLS),则必须在负载均衡器上部署 SSL/TLS 证书。负载均衡器先使用此证书终止连接,解密来自客户端的请求,然后再将请求发送到实例。

SSL 和 TLS 协议使用 X.509 证书 (SSL/TLS 服务器证书) 对客户端和后端应用程序进行身份验证。X.509 证书是证书颁发机构 (CA) 颁发的数字形式的标识,包含标识信息、有效期限、公钥、序列号以及颁发者的数字签名。

您可以使用 Amazon Certificate Manager 或支持 SSL 和 TLS 协议的工具(如 OpenSSL)创建证书。在创建或更新负载均衡器的 HTTPS 侦听器时,您需要指定该证书。在创建用于负载均衡器的证书时,您必须指定域名。

使用 创建或导入 SSL/TLS 证书Amazon Certificate Manager

我们建议您使用 Amazon Certificate Manager (ACM) 为负载均衡器创建或导入证书。ACM 与 Elastic Load Balancing 集成,以便您可以在负载均衡器上部署证书。要在负载均衡器上部署证书,证书与负载均衡器必须在同一区域中。有关更多信息,请参阅 Amazon Certificate Manager 用户用户指南中的请求公有证书导入证书

要允许用户使用 Amazon Web Services Management Console 在您的负载均衡器上部署证书,您必须向其授予对 ACM ListCertificates API 操作的访问权限。有关更多信息,请参阅 Amazon Certificate Manager 用户指南中的列出证书

重要

您无法通过与 ACM 集成在负载均衡器上安装带有 4096 位 RSA 密钥或 EC 密钥的证书。您必须将带有 4096 位 RSA 密钥或 EC 密钥的证书上传到 IAM,以便将它们与负载均衡器结合使用。

使用 IAM 导入 SSL/TLS 证书

如果您未使用 ACM,则可以使用 SSL/TLS 工具(如 OpenSSL)创建证书签名请求 (CSR)、获取 CA 签署的 CSR 以生成证书,并将证书上传到 IAM。有关更多信息,请参阅 IAM 用户指南中的使用服务器证书