本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 经典负载均衡器的 SSL/TLS 证书
如果前端侦听器使用 HTTPS (SSL 或 TLS),则必须在负载均衡器上部署 SSL/TLS 证书。负载均衡器先使用此证书终止连接,解密来自客户端的请求,然后再将请求发送到实例。
SSL 和 TLS 协议使用 X.509 证书 (SSL/TLS 服务器证书) 对客户端和后端应用程序进行身份验证。X.509 证书是证书颁发机构 (CA) 颁发的数字形式的标识,包含标识信息、有效期限、公钥、序列号以及颁发者的数字签名。
您可以使用 Amazon Certificate Manager 或支持 SSL 和 TLS 协议的工具(例如 OpenSSL)来创建证书。在创建或更新负载均衡器的 HTTPS 侦听器时,您需要指定该证书。在创建用于负载均衡器的证书时,您必须指定域名。
在创建用于负载均衡器的证书时,您必须指定域名。证书上的域名必须与自定义域名记录匹配。如果不匹配,则不会对流量进行加密,因为无法验证 TLS 连接。
必须为证书指定一个完全限定域名 (FQDN)(例如 `www.example.com`)或顶点域名(例如 `example.com`)。您还可以使用星号 (\$1) 作为通配符来保护同一域中的多个站点名称。请求通配符证书时,星号 (\$1) 必须位于域名的最左侧位置,而且只能保护一个子域级别。例如,`*.example.com` 保护 `corp.example.com` 和 `images.example.com`,但无法保护 `test.login.example.com`。另请注意,`*.example.com` 仅保护 `example.com` 的子域,而不保护裸域或顶点域 (`example.com`)。通配符名称将显示在证书的 **Subject(主题)**字段和 **Subject Alternative Name(主题替代名称)**扩展中。有关公共证书的更多信息,请参阅 *Amazon Certificate Manager 用户指南*中的[请求公共证书](https://docs.amazonaws.cn/acm/latest/userguide/gs-acm-request-public.html#request-public-console)。
## 使用创建或导入 SSL/TLS 证书 Amazon Certificate Manager
我们建议您使用 Amazon Certificate Manager (ACM) 为负载均衡器创建或导入证书。ACM 与 Elastic Load Balancing 集成,以便您可以在负载均衡器上部署证书。要在负载均衡器上部署证书,证书与负载均衡器必须在同一区域中。有关更多信息,请参阅 *Amazon Certificate Manager 用户用户指南*中的[请求公有证书](https://docs.amazonaws.cn/acm/latest/userguide/gs-acm-request-public.html)或[导入证书](https://docs.amazonaws.cn/acm/latest/userguide/import-certificate.html)。
要允许用户使用 Amazon Web Services 管理控制台在您的负载均衡器上部署证书,您必须向其授予对 ACM `ListCertificates` API 操作的访问权限。有关更多信息,请参阅 *Amazon Certificate Manager 用户指南*中的[列出证书](https://docs.amazonaws.cn/acm/latest/userguide/security_iam_id-based-policy-examples.html#policy-list-certificates)。
**重要**
您无法通过与 ACM 集成在负载均衡器上安装带有 4096 位 RSA 密钥或 EC 密钥的证书。您必须将带有 4096 位 RSA 密钥或 EC 密钥的证书上传到 IAM,以便将它们与负载均衡器结合使用。
## 使用 IAM 导入 SSL/TLS 证书
如果您不使用 ACM,则可以使用 OpenSSL 等 SSL/TLS 工具创建证书签名请求 (CSR),获取 CA 签署的 CSR 以生成证书,然后将证书上传到 IAM。有关更多信息,请参阅 *IAM 用户指南*中的[使用服务器证书](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_credentials_server-certs.html)。