更新网络负载均衡器的 TLS 侦听器 - Elastic Load Balancing
替换默认证书将证书添加到证书列表从证书列表中删除证书更新安全策略更新 ALPN 策略
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

更新网络负载均衡器的 TLS 侦听器

创建 TLS 侦听器后,您可以替换默认证书、在证书列表中添加或删除证书、更新安全策略或更新 ALPN 策略。

替换默认证书

您可以根据需要替换 TLS 侦听器的默认证书。有关更多信息,请参阅 默认证书

Console
替换默认证书

  1. 打开 Amazon EC2 控制台,网址为https://console.aws.amazon.com/ec2/

  2. 在导航窗格中,选择负载均衡器

  3. 选择负载均衡器。

  4. 侦听器选项卡上,选择协议:端口列中的文本以打开侦听器的详细信息页面。

  5. 证书选项卡上,选择更改默认值

  6. 在 ACM 和 IAM 证书表中,选择新的默认证书。

  7. (可选)默认情况下,我们选择 “将以前的默认证书添加到侦听器证书列表”。除非您目前没有 SNI 的侦听器证书并且依赖于 TLS 会话恢复,否则我们建议您保持选中此选项。

  8. 选择另存为默认值

Amazon CLI
替换默认证书

使用 modify-listener 命令。

aws elbv2 modify-listener \
    --listener-arn listener-arn \
    --certificates CertificateArn=new-default-certificate-arn
CloudFormation
替换默认证书

使用新的默认证书更新AWS::ElasticLoadBalancingV2::Listener资源。

Resources:
  myTLSListener:
    Type: 'AWS::ElasticLoadBalancingV2::Listener'
    Properties:
      LoadBalancerArn: !Ref myLoadBalancer
      Protocol: TLS
      Port: 443
      DefaultActions:
        - Type: forward
          TargetGroupArn: !Ref myTargetGroup
      SslPolicy: "ELBSecurityPolicy-TLS13-1-2-2021-06"
      Certificates:
        - CertificateArn: "new-default-certificate-arn"

将证书添加到证书列表

您可使用以下过程将证书添加到侦听器的证书列表。首次创建 TLS 侦听器时,证书列表为空。您可以将默认证书添加到证书列表中,以确保即使该证书被替换为默认证书,也能与 SNI 协议一起使用。有关更多信息,请参阅 证书列表

Console
将证书添加到证书列表中

  1. 打开 Amazon EC2 控制台,网址为https://console.aws.amazon.com/ec2/

  2. 在导航窗格中,选择负载均衡器

  3. 选择负载均衡器的名称以打开其详细信息页面。

  4. 侦听器选项卡上,选择协议:端口列中的文本以打开侦听器的详细信息页面。

  5. 选择 Certificates (证书) 选项卡。

  6. 要将默认证书添加到列表中,请选择将默认证书添加到列表

  7. 要将非默认证书添加到列表中,请执行以下操作:

    1. 选择添加证书

    2. 要添加已由 ACM 或 IAM 管理的证书,请选中证书对应的复选框并选择在下面以待注册的形式添加

    3. 要添加不由 ACM 或 IAM 管理的证书,请选择导入证书,填写表格,然后选择导入

    4. 选择添加待处理证书

Amazon CLI
将证书添加到证书列表中

使用 add-listener-certificates 命令。

aws elbv2 add-listener-certificates \
    --listener-arn listener-arn \
    --certificates \
        CertificateArn=certificate-arn-1 \
        CertificateArn=certificate-arn-2 \
        CertificateArn=certificate-arn-3
CloudFormation
将证书添加到证书列表中

定义类型为的资源AWS::ElasticLoadBalancingV2::ListenerCertificate

Resources: 
  myCertificateList:
    Type: 'AWS::ElasticLoadBalancingV2::ListenerCertificate'
    Properties:
      ListenerArn: !Ref myTLSListener
      Certificates:
        - CertificateArn: "certificate-arn-1"
        - CertificateArn: "certificate-arn-2"
        - CertificateArn: "certificate-arn-3"

  myTLSListener:
    Type: AWS::ElasticLoadBalancingV2::Listener
    Properties:
      LoadBalancerArn: !Ref myLoadBalancer
      Protocol: TLSS
      Port: 443
      SslPolicy: "ELBSecurityPolicy-TLS13-1-2-2021-06"
      Certificates:
        - CertificateArn: "certificate-arn-1"
      DefaultActions:
        - Type: forward
          TargetGroupArn: !Ref myTargetGroup

从证书列表中删除证书

您可以使用以下过程从 TLS 侦听器的证书列表中删除证书。删除证书后,监听器无法再使用该证书创建连接。为确保客户端不受影响,请在从列表中删除证书之前,向列表中添加新证书并确认连接正常。

要删除 TLS 侦听器的默认证书,请参阅替换默认证书

Console
从证书列表中删除证书

  1. 打开 Amazon EC2 控制台,网址为https://console.aws.amazon.com/ec2/

  2. 在导航窗格中,选择负载均衡器

  3. 选择负载均衡器的名称以打开其详细信息页面。

  4. 侦听器选项卡上,选择协议:端口列中的文本以打开侦听器的详细信息页面。

  5. 证书选项卡上,选中证书对应的复选框,然后选择删除

  6. 提示进行确认时,输入 confirm,然后选择删除

Amazon CLI
从证书列表中删除证书

使用 remove-listener-certificates 命令。

aws elbv2 remove-listener-certificates \
    --listener-arn listener-arn \
    --certificates CertificateArn=certificate-arn

更新安全策略

在创建 TLS 侦听器时,您可以选择满足您的需求的安全策略。添加新的安全策略后,您可以将 TLS 侦听器更新为使用此新安全策略。网络负载均衡器不支持自定义安全策略。有关更多信息,请参阅 网络负载均衡器的安全策略

如果负载均衡器处理大量流量,则更新安全策略可能会导致中断。为了减少负载均衡器处理大量流量时发生中断的可能性,请创建一个额外的负载均衡器来帮助处理流量或申请 LCU 预留。

Console
更新安全策略

  1. 打开 Amazon EC2 控制台,网址为https://console.aws.amazon.com/ec2/

  2. 在导航窗格中,选择负载均衡器

  3. 选择负载均衡器的名称以打开其详细信息页面。

  4. 侦听器选项卡上,选择协议:端口列中的文本以打开侦听器的详细信息页面。

  5. 选择操作编辑监听器

  6. 安全侦听器设置部分的安全策略下,选择新的安全策略。

  7. 选择保存更改

Amazon CLI
更新安全策略

使用 modify-listener 命令。

aws elbv2 modify-listener \
    --listener-arn listener-arn \
    --ssl-policy ELBSecurityPolicy-TLS13-1-2-Res-2021-06
CloudFormation
更新安全策略

使用新的安全策略更新AWS::ElasticLoadBalancingV2::Listener资源。

Resources:
  myTLSListener:
    Type: 'AWS::ElasticLoadBalancingV2::Listener'
    Properties:
      LoadBalancerArn: !Ref myLoadBalancer
      Protocol: TLS
      Port: 443
      SslPolicy: "ELBSecurityPolicy-TLS13-1-2-2021-06"
      Certificates:
        - CertificateArn: "default-certificate-arn"
      DefaultActions:
        - Type: forward
          TargetGroupArn: !Ref myTargetGroup

更新 ALPN 策略

您可以根据需要更新 TLS 侦听器的 ALPN 策略。有关更多信息,请参阅 ALPN 策略

Console
更新 ALPN 政策

  1. 打开 Amazon EC2 控制台,网址为https://console.aws.amazon.com/ec2/

  2. 在导航窗格中,选择负载均衡器

  3. 选择负载均衡器的名称以打开其详细信息页面。

  4. 侦听器选项卡上,选择协议:端口列中的文本以打开侦听器的详细信息页面。

  5. 选择操作编辑监听器

  6. 在 “安全侦听器设置” 部分中,对于 ALPN 策略,选择一个策略以启用 ALPN,或者选择 “” 以禁用 ALPN。

  7. 选择保存更改

Amazon CLI
更新 ALPN 政策

使用 modify-listener 命令。

aws elbv2 modify-listener \
    --listener-arn listener-arn \
    --alpn-policy HTTP2Preferred
CloudFormation
更新 ALPN 政策

更新AWS::ElasticLoadBalancingV2::Listener资源以包含 ALPN 政策。

Resources:
  myTLSListener:
    Type: 'AWS::ElasticLoadBalancingV2::Listener'
    Properties:
      LoadBalancerArn: !Ref myLoadBalancer
      Protocol: TLS
      Port: 443
      SslPolicy: "ELBSecurityPolicy-TLS13-1-2-Res-2021-06"
      AlpnPolicy:
        - HTTP2Preferred
      Certificates:
        - CertificateArn: "certificate-arn"
      DefaultActions:
        - Type: forward
          TargetGroupArn: !Ref myTargetGroup