本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
SSL您的 Application Load Balancer 证书
当您为应用程序负载均衡器创建安全侦听器时,必须在负载均衡器上部署至少一个证书。负载平衡器需要 X.509 证书(SSL/TLS服务器证书)。证书是由证书颁发机构 (CA) 颁发的数字化身份。证书包含标识信息、有效期限、公有密钥、序列号以及发布者的数字签名。
在创建用于负载均衡器的证书时,您必须指定域名。证书上的域名必须与自定义域名记录相匹配,这样我们才能验证TLS连接。如果不匹配,则流量不会加密。
您必须为证书指定完全限定的域名 (FQDN),例如www.example.com或顶点域名,例如。example.com您还可以使用星号 (*) 作为通配符来保护同一域中的多个站点名称。请求通配符证书时,星号 (*) 必须位于域名的最左侧位置,而且只能保护一个子域级别。例如,*.example.com 保护 corp.example.com 和 images.example.com,但无法保护 test.login.example.com。另请注意,*.example.com 仅保护 example.com 的子域,而不保护裸域或顶点域 (example.com)。通配符名称显示在证书的 Subject(主题)字段和 Subject Alternative Name(主题替代名称)扩展中。有关公有证书的更多信息,请参阅《AWS Certificate Manager 用户指南》中的 请求公有证书。
我们建议您使用 AWS Certificate Manager (ACM)
或者,您可以使用SSL/TLS工具创建证书签名请求 (CSR),然后获取 CA CSR 签名以生成证书,然后将证书导入ACM或上传到 AWS Identity and Access Management (IAM)。有关将证书导入的更多信息ACM,请参阅《AWS Certificate Manager 用户指南》中的导入证书。有关将证书上传到的更多信息IAM,请参阅《IAM用户指南》中的使用服务器证书。
默认证书
创建HTTPS侦听器时,必须只指定一个证书。此证书称为默认证书。创建HTTPS监听器后,您可以替换默认证书。有关更多信息,请参阅 替换默认证书。
如果您在证书列表中指定了其他证书,则只有在客户端连接时未使用服务器名称指示 (SNI) 协议指定主机名或者证书列表中没有匹配的证书时,才会使用默认证书。
如果您没有指定其他证书,但需要通过单个负载均衡器托管多个安全应用程序,则可以使用通配符证书或在证书中为每个其他域添加主题备用名称 (SAN)。
证书列表
创建HTTPS监听器后,它会有一个默认证书和一个空的证书列表。您可以选择将证书添加到侦听器的证书列表中。使用证书列表可使负载均衡器在同一端口上支持多个域,并为每个域提供不同的证书。有关更多信息,请参阅 将证书添加到证书列表。
负载均衡器使用支持智能证书选择算法SNI。如果客户端提供的主机名与证书列表中的一个证书匹配,则负载均衡器将选择此证书。如果客户端提供的主机名与证书列表中的多个证书匹配,则负载均衡器将选择客户端可支持的最佳证书。根据以下标准,按下面的顺序选择证书:
-
公钥算法(ECDSA优先于RSA)
-
哈希算法(SHA优先MD5于)
-
密钥长度 (首选最大值)
-
有效期
负载均衡器访问日志条目指示客户端指定的主机名和向客户端提供的证书。有关更多信息,请参阅 访问日志条目。
证书续订
每个证书都有有效期限。您必须确保在有效期结束之前续订或替换负载均衡器的每个证书。这包括默认证书和证书列表中的证书。续订或替换证书不影响负载均衡器节点已收到的进行中的请求,并暂停指向正常运行的目标的路由。续订证书之后,新的请求将使用续订后的证书。更换证书之后,新的请求将使用新证书。
您可以按如下方式管理证书续订和替换:
