本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
经典负载均衡器的 SSL/TLS 证书
如果前端侦听器使用 HTTPS (SSL 或 TLS),则必须在负载均衡器上部署 SSL/TLS 证书。负载均衡器先使用此证书终止连接,解密来自客户端的请求,然后再将请求发送到实例。
SSL 和 TLS 协议使用 X.509 证书 (SSL/TLS 服务器证书) 对客户端和后端应用程序进行身份验证。X.509 证书是证书颁发机构 (CA) 颁发的数字形式的标识,包含标识信息、有效期限、公钥、序列号以及颁发者的数字签名。
您可以使用 Amazon Certificate Manager 或支持 SSL 和 TLS 协议的工具(如 OpenSSL)创建证书。在创建或更新负载均衡器的 HTTPS 侦听器时,您需要指定该证书。在创建用于负载均衡器的证书时,您必须指定域名。
在创建用于负载均衡器的证书时,您必须指定域名。证书上的域名必须与自定义域名记录匹配。如果不匹配,则不会对流量进行加密,因为无法验证 TLS 连接。
必须为证书指定一个完全限定域名 (FQDN)(例如 www.example.com)或顶点域名(例如 example.com)。您还可以使用星号 (*) 作为通配符来保护同一域中的多个站点名称。请求通配符证书时,星号 (*) 必须位于域名的最左侧位置,而且只能保护一个子域级别。例如,*.example.com 保护 corp.example.com 和 images.example.com,但无法保护 test.login.example.com。另请注意,*.example.com 仅保护 example.com 的子域,而不保护裸域或顶点域 (example.com)。通配符名称将显示在证书的 Subject(主题)字段和 Subject Alternative Name(主题替代名称)扩展中。有关公共证书的更多信息,请参阅 Amazon Certificate Manager 用户指南中的请求公共证书。
使用 创建或导入 SSL/TLS 证书Amazon Certificate Manager
我们建议您使用 Amazon Certificate Manager (ACM) 为负载均衡器创建或导入证书。ACM 与 Elastic Load Balancing 集成,以便您可以在负载均衡器上部署证书。要在负载均衡器上部署证书,证书与负载均衡器必须在同一区域中。有关更多信息,请参阅 Amazon Certificate Manager 用户用户指南中的请求公有证书或导入证书。
要允许用户使用 Amazon Web Services Management Console 在您的负载均衡器上部署证书,您必须向其授予对 ACM ListCertificates API 操作的访问权限。有关更多信息,请参阅 Amazon Certificate Manager 用户指南中的列出证书。
重要
您无法通过与 ACM 集成在负载均衡器上安装带有 4096 位 RSA 密钥或 EC 密钥的证书。您必须将带有 4096 位 RSA 密钥或 EC 密钥的证书上传到 IAM,以便将它们与负载均衡器结合使用。
使用 IAM 导入 SSL/TLS 证书
如果您未使用 ACM,则可以使用 SSL/TLS 工具(如 OpenSSL)创建证书签名请求 (CSR)、获取 CA 签署的 CSR 以生成证书,并将证书上传到 IAM。有关更多信息,请参阅 IAM 用户指南中的使用服务器证书。