本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
更新网络负载均衡器的 TLS 侦听器
创建 TLS 侦听器后,您可以替换默认证书、在证书列表中添加或删除证书、更新安全策略或更新 ALPN 策略。
替换默认证书
您可以根据需要替换 TLS 侦听器的默认证书。有关更多信息,请参阅 默认证书。
- Console
-
替换默认证书
打开 Amazon EC2 控制台,网址为https://console.aws.amazon.com/ec2/
。 -
在导航窗格中,选择负载均衡器。
-
选择负载均衡器。
-
在侦听器选项卡上,选择协议:端口列中的文本以打开侦听器的详细信息页面。
-
在证书选项卡上,选择更改默认值。
-
在 ACM 和 IAM 证书表中,选择新的默认证书。
-
(可选)默认情况下,我们选择 “将以前的默认证书添加到侦听器证书列表”。除非您目前没有 SNI 的侦听器证书并且依赖于 TLS 会话恢复,否则我们建议您保持选中此选项。
-
选择另存为默认值。
- Amazon CLI
-
替换默认证书
使用 modify-listener 命令。
aws elbv2 modify-listener \ --listener-arn
listener-arn
\ --certificates CertificateArn=new-default-certificate-arn
- CloudFormation
-
替换默认证书
使用新的默认证书更新AWS::ElasticLoadBalancingV2::Listener资源。
Resources: myTLSListener: Type: 'AWS::ElasticLoadBalancingV2::Listener' Properties: LoadBalancerArn: !Ref myLoadBalancer Protocol: TLS Port: 443 DefaultActions: - Type: forward TargetGroupArn: !Ref myTargetGroup SslPolicy: "ELBSecurityPolicy-TLS13-1-2-2021-06" Certificates: - CertificateArn: "
new-default-certificate-arn
"
将证书添加到证书列表
您可使用以下过程将证书添加到侦听器的证书列表。首次创建 TLS 侦听器时,证书列表为空。您可以将默认证书添加到证书列表中,以确保即使该证书被替换为默认证书,也能与 SNI 协议一起使用。有关更多信息,请参阅 证书列表。
- Console
-
将证书添加到证书列表中
打开 Amazon EC2 控制台,网址为https://console.aws.amazon.com/ec2/
。 -
在导航窗格中,选择负载均衡器。
-
选择负载均衡器的名称以打开其详细信息页面。
-
在侦听器选项卡上,选择协议:端口列中的文本以打开侦听器的详细信息页面。
-
选择 Certificates (证书) 选项卡。
-
要将默认证书添加到列表中,请选择将默认证书添加到列表。
-
要将非默认证书添加到列表中,请执行以下操作:
-
选择添加证书。
-
要添加已由 ACM 或 IAM 管理的证书,请选中证书对应的复选框并选择在下面以待注册的形式添加。
-
要添加不由 ACM 或 IAM 管理的证书,请选择导入证书,填写表格,然后选择导入。
-
选择添加待处理证书。
-
- Amazon CLI
-
将证书添加到证书列表中
使用 add-listener-certificates 命令。
aws elbv2 add-listener-certificates \ --listener-arn
listener-arn
\ --certificates \ CertificateArn=certificate-arn-1
\ CertificateArn=certificate-arn-2
\ CertificateArn=certificate-arn-3
- CloudFormation
-
将证书添加到证书列表中
定义类型为的资源AWS::ElasticLoadBalancingV2::ListenerCertificate。
Resources: myCertificateList: Type: 'AWS::ElasticLoadBalancingV2::ListenerCertificate' Properties: ListenerArn: !Ref myTLSListener Certificates: - CertificateArn: "
certificate-arn-1
" - CertificateArn: "certificate-arn-2
" - CertificateArn: "certificate-arn-3
" myTLSListener: Type: AWS::ElasticLoadBalancingV2::Listener Properties: LoadBalancerArn: !Ref myLoadBalancer Protocol: TLSS Port: 443 SslPolicy: "ELBSecurityPolicy-TLS13-1-2-2021-06" Certificates: - CertificateArn: "certificate-arn-1" DefaultActions: - Type: forward TargetGroupArn: !Ref myTargetGroup
从证书列表中删除证书
您可以使用以下过程从 TLS 侦听器的证书列表中删除证书。删除证书后,监听器无法再使用该证书创建连接。为确保客户端不受影响,请在从列表中删除证书之前,向列表中添加新证书并确认连接正常。
要删除 TLS 侦听器的默认证书,请参阅替换默认证书。
- Console
-
从证书列表中删除证书
打开 Amazon EC2 控制台,网址为https://console.aws.amazon.com/ec2/
。 -
在导航窗格中,选择负载均衡器。
-
选择负载均衡器的名称以打开其详细信息页面。
-
在侦听器选项卡上,选择协议:端口列中的文本以打开侦听器的详细信息页面。
-
在证书选项卡上,选中证书对应的复选框,然后选择删除。
-
提示进行确认时,输入
confirm
,然后选择删除。
- Amazon CLI
-
从证书列表中删除证书
使用 remove-listener-certificates 命令。
aws elbv2 remove-listener-certificates \ --listener-arn
listener-arn
\ --certificates CertificateArn=certificate-arn
更新安全策略
在创建 TLS 侦听器时,您可以选择满足您的需求的安全策略。添加新的安全策略后,您可以将 TLS 侦听器更新为使用此新安全策略。网络负载均衡器不支持自定义安全策略。有关更多信息,请参阅 网络负载均衡器的安全策略。
如果负载均衡器处理大量流量,则更新安全策略可能会导致中断。为了减少负载均衡器处理大量流量时发生中断的可能性,请创建一个额外的负载均衡器来帮助处理流量或申请 LCU 预留。
- Console
-
更新安全策略
打开 Amazon EC2 控制台,网址为https://console.aws.amazon.com/ec2/
。 -
在导航窗格中,选择负载均衡器。
-
选择负载均衡器的名称以打开其详细信息页面。
-
在侦听器选项卡上,选择协议:端口列中的文本以打开侦听器的详细信息页面。
-
选择操作,编辑监听器。
-
在安全侦听器设置部分的安全策略下,选择新的安全策略。
-
选择保存更改。
- Amazon CLI
-
更新安全策略
使用 modify-listener 命令。
aws elbv2 modify-listener \ --listener-arn
listener-arn
\ --ssl-policyELBSecurityPolicy-TLS13-1-2-Res-2021-06
- CloudFormation
-
更新安全策略
使用新的安全策略更新AWS::ElasticLoadBalancingV2::Listener资源。
Resources: myTLSListener: Type: 'AWS::ElasticLoadBalancingV2::Listener' Properties: LoadBalancerArn: !Ref myLoadBalancer Protocol: TLS Port: 443 SslPolicy: "
ELBSecurityPolicy-TLS13-1-2-2021-06
" Certificates: - CertificateArn: "default-certificate-arn" DefaultActions: - Type: forward TargetGroupArn: !Ref myTargetGroup
更新 ALPN 策略
您可以根据需要更新 TLS 侦听器的 ALPN 策略。有关更多信息,请参阅 ALPN 策略。
- Console
-
更新 ALPN 政策
打开 Amazon EC2 控制台,网址为https://console.aws.amazon.com/ec2/
。 -
在导航窗格中,选择负载均衡器。
-
选择负载均衡器的名称以打开其详细信息页面。
-
在侦听器选项卡上,选择协议:端口列中的文本以打开侦听器的详细信息页面。
-
选择操作,编辑监听器。
-
在 “安全侦听器设置” 部分中,对于 ALPN 策略,选择一个策略以启用 ALPN,或者选择 “无” 以禁用 ALPN。
-
选择保存更改。
- Amazon CLI
-
更新 ALPN 政策
使用 modify-listener 命令。
aws elbv2 modify-listener \ --listener-arn
listener-arn
\ --alpn-policyHTTP2Preferred
- CloudFormation
-
更新 ALPN 政策
更新AWS::ElasticLoadBalancingV2::Listener资源以包含 ALPN 政策。
Resources: myTLSListener: Type: 'AWS::ElasticLoadBalancingV2::Listener' Properties: LoadBalancerArn: !Ref myLoadBalancer Protocol: TLS Port: 443 SslPolicy: "ELBSecurityPolicy-TLS13-1-2-Res-2021-06" AlpnPolicy: -
HTTP2Preferred
Certificates: - CertificateArn: "certificate-arn" DefaultActions: - Type: forward TargetGroupArn: !Ref myTargetGroup