经典负载均衡器的预定义 SSL 安全策略

您可以为 HTTPS/SSL 侦听器选择预定义的安全策略之一。您可以使用 ELBSecurityPolicy-TLS 策略之一来满足要求禁用某些 TLS 协议版本的合规性和安全标准。或者，您也可以创建自定义安全策略。有关更多信息，请参阅更新 SSL 协商配置。

基于 RSA 和 DSA 的密码特定于用于创建 SSL 证书的签名算法。请确保使用基于为安全策略启用的密码的签名算法来创建 SSL 证书。

如果选择为“服务器顺序首选项”启用的策略，则负载均衡器会按密码在这里的指定顺序使用密码，以协商客户端与负载均衡器之间的连接。否则，负载均衡器会按客户端提供的密码的顺序使用密码。

以下章节介绍了经典负载均衡器的最新预定义安全策略，包括其启用的 SSL 协议和 SSL 密码。您也可以使用describe-load-balancer-policies命令描述预定义的策略。

提示

这些信息仅适用于经典负载均衡器。有关适用于其他负载均衡器的信息，请参阅适用于应用程序负载均衡器的安全策略和适用于网络负载均衡器的安全策略。

按策略划分的协议

下表描述了每个安全策略支持的 TLS 协议。

安全策略	TLS 1.2	TLS 1.1	TLS 1.0
ELBSecurityPolicy-tls-1-2-2017-01	是	没有	没有
ELBSecurity政策-tls-1-1-2017-01	是	是	没有
ELBSecurity政策-2016-08	是	是	是
ELBSecurity政策-2015-05	是	是	是
ELBSecurity政策-2015-03	是	是	是
ELBSecurity政策-2015-02	是	是	是

按策略划分的密码

下表描述了每个安全策略支持的密码。

安全策略	密码
ELBSecurityPolicy-tls-1-2-2017-01	ECDHE-ECDSA--GCM-AES128 SHA256 ECDHE-RSA--GCM-AES128 SHA256 ECDHE-ECDSA--AES128 SHA256 ECDHE-RSA--AES128 SHA256 ECDHE-ECDSA--GCM-AES256 SHA384 ECDHE-RSA--GCM-AES256 SHA384 ECDHE-ECDSA--AES256 SHA384 ECDHE-RSA--AES256 SHA384 AES128-GCM-SHA256 AES128-SHA256 AES128-SHA AES256-GCM-SHA384 AES256-SHA256 AES256-SHA
ELBSecurity政策-tls-1-1-2017-01	ECDHE-ECDSA--GCM-AES128 SHA256 ECDHE-RSA--GCM-AES128 SHA256 ECDHE-ECDSA--AES128 SHA256 ECDHE-RSA--AES128 SHA256 ECDHE-ECDSA--SHA AES128 ECDHE-RSA--SHA AES128 ECDHE-ECDSA--GCM-AES256 SHA384 ECDHE-RSA--GCM-AES256 SHA384 ECDHE-ECDSA--AES256 SHA384 ECDHE-RSA--AES256 SHA384 ECDHE-ECDSA--SHA AES256 ECDHE-RSA--SHA AES256 AES128-GCM-SHA256 AES128-SHA256 AES128-SHA AES256-GCM-SHA384 AES256-SHA256 AES256-SHA
ELBSecurity政策-2016-08	ECDHE-ECDSA--GCM-AES128 SHA256 ECDHE-RSA--GCM-AES128 SHA256 ECDHE-ECDSA--AES128 SHA256 ECDHE-RSA--AES128 SHA256 ECDHE-ECDSA--SHA AES128 ECDHE-RSA--SHA AES128 ECDHE-ECDSA--GCM-AES256 SHA384 ECDHE-RSA--GCM-AES256 SHA384 ECDHE-ECDSA--AES256 SHA384 ECDHE-RSA--AES256 SHA384 ECDHE-ECDSA--SHA AES256 ECDHE-RSA--SHA AES256 AES128-GCM-SHA256 AES128-SHA256 AES128-SHA AES256-GCM-SHA384 AES256-SHA256 AES256-SHA
ELBSecurity政策-2015-05	ECDHE-ECDSA--GCM-AES128 SHA256 ECDHE-RSA--GCM-AES128 SHA256 ECDHE-ECDSA--AES128 SHA256 ECDHE-RSA--AES128 SHA256 ECDHE-ECDSA--SHA AES128 ECDHE-RSA--SHA AES128 ECDHE-ECDSA--GCM-AES256 SHA384 ECDHE-RSA--GCM-AES256 SHA384 ECDHE-ECDSA--AES256 SHA384 ECDHE-RSA--AES256 SHA384 ECDHE-ECDSA--SHA AES256 ECDHE-RSA--SHA AES256 AES128-GCM-SHA256 AES128-SHA256 AES128-SHA AES256-GCM-SHA384 AES256-SHA256 AES256-SHA DES CBC3--SHA
ELBSecurity政策-2015-03	ECDHE-ECDSA--GCM-AES128 SHA256 ECDHE-RSA--GCM-AES128 SHA256 ECDHE-ECDSA--AES128 SHA256 ECDHE-RSA--AES128 SHA256 ECDHE-ECDSA--SHA AES128 ECDHE-RSA--SHA AES128 ECDHE-ECDSA--GCM-AES256 SHA384 ECDHE-RSA--GCM-AES256 SHA384 ECDHE-ECDSA--AES256 SHA384 ECDHE-RSA--AES256 SHA384 ECDHE-ECDSA--SHA AES256 ECDHE-RSA--SHA AES256 AES128-GCM-SHA256 AES128-SHA256 AES128-SHA AES256-GCM-SHA384 AES256-SHA256 AES256-SHA DHE-RSA--SHA AES128 DHE-DSS-SHA AES128 DES CBC3--SHA
ELBSecurity政策-2015-02	ECDHE-ECDSA--GCM-AES128 SHA256 ECDHE-RSA--GCM-AES128 SHA256 ECDHE-ECDSA--AES128 SHA256 ECDHE-RSA--AES128 SHA256 ECDHE-ECDSA--SHA AES128 ECDHE-RSA--SHA AES128 ECDHE-ECDSA--GCM-AES256 SHA384 ECDHE-RSA--GCM-AES256 SHA384 ECDHE-ECDSA--AES256 SHA384 ECDHE-RSA--AES256 SHA384 ECDHE-ECDSA--SHA AES256 ECDHE-RSA--SHA AES256 AES128-GCM-SHA256 AES128-SHA256 AES128-SHA AES256-GCM-SHA384 AES256-SHA256 AES256-SHA DHE-RSA--SHA AES128 DHE-DSS-SHA AES128

按密码划分的策略

下表描述了支持每个密码的安全策略。

密码名称	安全策略	密码套件
OpenSSL — ECDHE-ECDSA-AES 128-GCM-SHA256 IANA — TLS_ECDHE_ECDSA_WITH_AES_128_GCM_ SHA256	ELBSecurityPolicy-tls-1-2-2017-01 ELBSecurity政策-tls-1-1-2017-01 ELBSecurity政策-2016-08 ELBSecurity政策-2015-05 ELBSecurity政策-2015-03 ELBSecurity政策-2015-02	c02b
OpenSSL — ECDHE-RSA-AES 128-GCM-SHA256 IANA — TLS_ECDHE_RSA_WITH_AES_128_GCM_ SHA256	ELBSecurityPolicy-tls-1-2-2017-01 ELBSecurity政策-tls-1-1-2017-01 ELBSecurity政策-2016-08 ELBSecurity政策-2015-05 ELBSecurity政策-2015-03 ELBSecurity政策-2015-02	c02f
OpenSSL — 12 8- ECDHE-ECDSA-AES SHA256 IANA — TLS_ECDHE_ECDSA_WITH_AES_128_CBC_ SHA256	ELBSecurityPolicy-tls-1-2-2017-01 ELBSecurity政策-tls-1-1-2017-01 ELBSecurity政策-2016-08 ELBSecurity政策-2015-05 ELBSecurity政策-2015-03 ELBSecurity政策-2015-02	c023
OpenSSL — 12 8- ECDHE-RSA-AES SHA256 IANA — TLS_ECDHE_RSA_WITH_AES_128_CBC_ SHA256	ELBSecurityPolicy-tls-1-2-2017-01 ELBSecurity政策-tls-1-1-2017-01 ELBSecurity政策-2016-08 ELBSecurity政策-2015-05 ELBSecurity政策-2015-03 ELBSecurity政策-2015-02	c027
OpenSSL — 128-SHA ECDHE-ECDSA-AES IANA：TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA	ELBSecurity政策-tls-1-1-2017-01 ELBSecurity政策-2016-08 ELBSecurity政策-2015-05 ELBSecurity政策-2015-03 ELBSecurity政策-2015-02	c009
OpenSSL — 128-SHA ECDHE-RSA-AES IANA：TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA	ELBSecurity政策-tls-1-1-2017-01 ELBSecurity政策-2016-08 ELBSecurity政策-2015-05 ELBSecurity政策-2015-03 ELBSecurity政策-2015-02	c013
OpenSSL — ECDHE-ECDSA-AES 256-GCM-SHA384 IANA — TLS_ECDHE_ECDSA_WITH_AES_256_GCM_ SHA384	ELBSecurityPolicy-tls-1-2-2017-01 ELBSecurity政策-tls-1-1-2017-01 ELBSecurity政策-2016-08 ELBSecurity政策-2015-05 ELBSecurity政策-2015-03 ELBSecurity政策-2015-02	c02c
OpenSSL — ECDHE-RSA-AES 256-GCM-SHA384 IANA — TLS_ECDHE_RSA_WITH_AES_256_GCM_ SHA384	ELBSecurityPolicy-tls-1-2-2017-01 ELBSecurity政策-tls-1-1-2017-01 ELBSecurity政策-2016-08 ELBSecurity政策-2015-05 ELBSecurity政策-2015-03 ELBSecurity政策-2015-02	c030
OpenSSL — 25 6- ECDHE-ECDSA-AES SHA384 IANA — TLS_ECDHE_ECDSA_WITH_AES_256_CBC_ SHA384	ELBSecurityPolicy-tls-1-2-2017-01 ELBSecurity政策-tls-1-1-2017-01 ELBSecurity政策-2016-08 ELBSecurity政策-2015-05 ELBSecurity政策-2015-03 ELBSecurity政策-2015-02	c024
OpenSSL — 25 6- ECDHE-RSA-AES SHA384 IANA — TLS_ECDHE_RSA_WITH_AES_256_CBC_ SHA384	ELBSecurityPolicy-tls-1-2-2017-01 ELBSecurity政策-tls-1-1-2017-01 ELBSecurity政策-2016-08 ELBSecurity政策-2015-05 ELBSecurity政策-2015-03 ELBSecurity政策-2015-02	c028
OpenSSL — 256-SHA ECDHE-ECDSA-AES IANA：TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA	ELBSecurity政策-tls-1-1-2017-01 ELBSecurity政策-2016-08 ELBSecurity政策-2015-05 ELBSecurity政策-2015-03 ELBSecurity政策-2015-02	c014
OpenSSL — 256-SHA ECDHE-RSA-AES IANA：TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA	ELBSecurity政策-tls-1-1-2017-01 ELBSecurity政策-2016-08 ELBSecurity政策-2015-05 ELBSecurity政策-2015-03 ELBSecurity政策-2015-02	c00a
OpenSSL —- AES128 G CM-SHA256 IANA — TLS_RSA_WITH_AES_128_GCM_ SHA256	ELBSecurityPolicy-tls-1-2-2017-01 ELBSecurity政策-tls-1-1-2017-01 ELBSecurity政策-2016-08 ELBSecurity政策-2015-05 ELBSecurity政策-2015-03 ELBSecurity政策-2015-02	9c
OpenSSL —- AES128 SHA256 IANA — TLS_RSA_WITH_AES_128_CBC_ SHA256	ELBSecurityPolicy-tls-1-2-2017-01 ELBSecurity政策-tls-1-1-2017-01 ELBSecurity政策-2016-08 ELBSecurity政策-2015-05 ELBSecurity政策-2015-03 ELBSecurity政策-2015-02	3c
OpenSSL —-SHA AES128 IANA：TLS_RSA_WITH_AES_128_CBC_SHA	ELBSecurity政策-tls-1-1-2017-01 ELBSecurity政策-2016-08 ELBSecurity政策-2015-05 ELBSecurity政策-2015-03 ELBSecurity政策-2015-02	2f
OpenSSL —- AES256 G CM-SHA384 IANA — TLS_RSA_WITH_AES_256_GCM_ SHA384	ELBSecurityPolicy-tls-1-2-2017-01 ELBSecurity政策-tls-1-1-2017-01 ELBSecurity政策-2016-08 ELBSecurity政策-2015-05 ELBSecurity政策-2015-03 ELBSecurity政策-2015-02	9d
OpenSSL —- AES256 SHA256 IANA — TLS_RSA_WITH_AES_256_CBC_ SHA256	ELBSecurityPolicy-tls-1-2-2017-01 ELBSecurity政策-tls-1-1-2017-01 ELBSecurity政策-2016-08 ELBSecurity政策-2015-05 ELBSecurity政策-2015-03 ELBSecurity政策-2015-02	3d
OpenSSL —-SHA AES256 IANA：TLS_RSA_WITH_AES_256_CBC_SHA	ELBSecurity政策-tls-1-1-2017-01 ELBSecurity政策-2016-08 ELBSecurity政策-2015-05 ELBSecurity政策-2015-03 ELBSecurity政策-2015-02	35
OpenSSL — 128-SHA DHE-RSA-AES IANA：TLS_DHE_RSA_WITH_AES_128_CBC_SHA	ELBSecurity政策-2015-03 ELBSecurity政策-2015-02	33
OpenSSL — 128-SHA DHE-DSS-AES IANA：TLS_DHE_DSS_WITH_AES_128_CBC_SHA	ELBSecurity政策-2015-03 ELBSecurity政策-2015-02	32
OpenSSL — DES-SHA CBC3 IANA：TLS_RSA_WITH_3DES_EDE_CBC_SHA	ELBSecurity政策-2015-05 ELBSecurity政策-2015-03	0a

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

SSL 协商配置

创建 HTTPS 负载均衡器