SSL经典负载均衡器的协商配置 - Elastic Load Balancing

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

SSL经典负载均衡器的协商配置

Elastic Load Balancing 使用安全套接字层 (SSL) 协商配置(称为安全策略)来协商客户端和负载均衡器之间的SSL连接。安全策略是SSL协议、SSL密码和服务器顺序首选项的组合。有关为负载均衡器配置SSL连接的更多信息,请参阅经典负载均衡器的侦听器

安全策略

安全策略决定在客户端和负载均衡器之间的SSL协商期间支持哪些密码和协议。您可以配置自己的经典负载均衡器以使用预定义或自定义的安全策略。

请注意, AWS Certificate Manager (ACM) 提供的证书包含RSA公钥。因此,如果您使用由提供的证书,则必须在安全策略RSA中包含使用的密码套件ACM;否则,TLS连接将失败。

预定义安全策略

最新预定义安全策略的名称包括发布预定义安全策略的年份和月份的版本信息。例如,默认预定义安全策略为 ELBSecurityPolicy-2016-08。只要发布新的预定义安全策略,您就能更新配置以使用它。

有关为预定义安全策略启用的协议和密码的信息,请参阅 经典负载均衡器的预定义SSL安全策略

自定义安全策略

您可使用所需的密码和协议创建自定义协商配置。例如,某些安全合规性标准(例如PCI和SOC)可能需要一组特定的协议和密码来确保满足安全标准。在这种情况下,可创建自定义安全策略来符合这些标准。

有关创建自定义安全策略的信息,请参阅 更新 Classic Load Balancer 的SSL协商配置

SSL协议

SSL协议在客户端和服务器之间建立安全连接,并确保在客户端和您的负载均衡器之间传递的所有数据都是私有的。

安全套接字层 (SSL) 和传输层安全 (TLS) 是加密协议,用于在不安全的网络(例如互联网)上加密机密数据。该TLS协议是该SSL协议的较新版本。在 Elastic Load Balancing 文档中,我们将TLS协议SSL和协议都称为SSL协议。

推荐的协议

我们建议使用 TLS 1.2,它用于 ELBSecurityPolicy TLS -1-2-2017-01 预定义的安全策略。您也可以在自定义安全策略中使用 TLS 1.2。默认安全策略同时支持 TLS 1.2 和更早版本的TLS,因此其安全性低于 ELBSecurityPolicy TLS -1-2-2017-01。

已弃用的协议

如果您之前在自定义策略中启用了 SSL 2.0 协议,我们建议您将安全策略更新为预定义的安全策略之一。

服务器顺序首选项

Elastic Load Balancing 支持服务器顺序首选项选项,该选项用于协商客户端与负载均衡器之间的连接。在SSL连接协商过程中,客户端和负载均衡器按优先顺序显示各自支持的密码和协议列表。默认情况下,会为连接选择客户端列表中与负载均衡器任意一个密码相匹配的第一个密码。SSL如果负载均衡器配置为支持服务器顺序首选项,则负载均衡器会在其列表中选择位于客户端的密码列表中的第一个密码。这可确保负载均衡器确定使用哪个密码进行连接。SSL如果您未启用服务器顺序首选项,则使用客户端提供的密码顺序来协商客户端与负载均衡器之间的连接。

SSL密码

SSL密码是一种加密算法,它使用加密密钥来创建编码消息。SSL协议使用多种SSL密码对互联网上的数据进行加密。

请注意, AWS Certificate Manager (ACM) 提供的证书包含RSA公钥。因此,如果您使用由提供的证书,则必须在安全策略RSA中包含使用的密码套件ACM;否则,TLS连接将失败。

Elastic Load Balancing 支持以下密码以用于经典负载均衡器。这些密码的子集由预定义SSL的策略使用。所有这些密码可用于自定义策略中。我们建议您仅使用默认安全策略 (带有星号) 中包括的密码。其他许多密码并不安全,需要自行承担使用风险。

密码
  • ECDHE-ECDSA-AES128-GCM-SHA256 *

  • ECDHE-RSA-AES128-GCM-SHA256 *

  • ECDHE-ECDSA-AES128-SHA256 *

  • ECDHE-RSA-AES128-SHA256 *

  • ECDHE-ECDSA-AES128-SHA *

  • ECDHE-RSA-AES128-SHA *

  • DHE-RSA-AES128-SHA

  • ECDHE-ECDSA-AES256-GCM-SHA384 *

  • ECDHE-RSA-AES256-GCM-SHA384 *

  • ECDHE-ECDSA-AES256-SHA384 *

  • ECDHE-RSA-AES256-SHA384 *

  • ECDHE-RSA-AES256-SHA *

  • ECDHE-ECDSA-AES256-SHA *

  • AES128-GCM-SHA256 *

  • AES128-SHA256 *

  • AES128-SHA *

  • AES256-GCM-SHA384 *

  • AES256-SHA256 *

  • AES256-SHA *

  • DHE-DSS-AES128-SHA

  • CAMELLIA128-SHA

  • EDH-RSA-DES-CBC3-SHA

  • DES-CBC3-SHA

  • ECDHE-RSA-RC4-SHA

  • RC4-SHA

  • ECDHE-ECDSA-RC4-SHA

  • DHE-DSS-AES256-GCM-SHA384

  • DHE-RSA-AES256-GCM-SHA384

  • DHE-RSA-AES256-SHA256

  • DHE-DSS-AES256-SHA256

  • DHE-RSA-AES256-SHA

  • DHE-DSS-AES256-SHA

  • DHE-RSA-CAMELLIA256-SHA

  • DHE-DSS-CAMELLIA256-SHA

  • CAMELLIA256-SHA

  • EDH-DSS-DES-CBC3-SHA

  • DHE-DSS-AES128-GCM-SHA256

  • DHE-RSA-AES128-GCM-SHA256

  • DHE-RSA-AES128-SHA256

  • DHE-DSS-AES128-SHA256

  • DHE-RSA-CAMELLIA128-SHA

  • DHE-DSS-CAMELLIA128-SHA

  • ADH-AES128-GCM-SHA256

  • ADH-AES128-SHA

  • ADH-AES128-SHA256

  • ADH-AES256-GCM-SHA384

  • ADH-AES256-SHA

  • ADH-AES256-SHA256

  • ADH-CAMELLIA128-SHA

  • ADH-CAMELLIA256-SHA

  • ADH-DES-CBC3-SHA

  • ADH-DES-CBC-SHA

  • ADH-RC4-MD5

  • ADH-SEED-SHA

  • DES-CBC-SHA

  • DHE-DSS-SEED-SHA

  • DHE-RSA-SEED-SHA

  • EDH-DSS-DES-CBC-SHA

  • EDH-RSA-DES-CBC-SHA

  • IDEA-CBC-SHA

  • RC4-MD5

  • SEED-SHA

  • DES-CBC3-MD5

  • DES-CBC-MD5

  • RC2-CBC-MD5

  • PSK-AES256-CBC-SHA

  • PSK-3 DES-EDE-CBC-SHA

  • KRB5-DES-CBC3-SHA

  • KRB5-DES-CBC3-MD5

  • PSK-AES128-CBC-SHA

  • PSK-RC4-SHA

  • KRB5-RC4-SHA

  • KRB5-RC4-MD5

  • KRB5-DES-CBC-SHA

  • KRB5-DES-CBC-MD5

  • EXP-EDH-RSA-DES-CBC-SHA

  • EXP-EDH-DSS-DES-CBC-SHA

  • EXP-ADH-DES-CBC-SHA

  • EXP-DES-CBC-SHA

  • EXP-RC2-CBC-MD5

  • EXP-KRB5-RC2-CBC-SHA

  • EXP-KRB5-DES-CBC-SHA

  • EXP-KRB5-RC2-CBC-MD5

  • EXP-KRB5-DES-CBC-MD5

  • EXP-ADH-RC4-MD5

  • EXP-RC4-MD5

  • EXP-KRB5-RC4-SHA

  • EXP-KRB5-RC4-MD5

* 这些是默认安全策略中包含的密码,ELBSecurityPolicy-2016-08。