使用最低的 TLS 协议版本保护您的 Lightsail 分配
Amazon Lightsail 使用 SSL/TLS 证书来验证您可以与 Lightsail 分配一起使用的自定义(已注册)域。本指南提供有关您可以为 SSL/TLS 证书配置的查看器最低 TLS 协议版本(协议版本)的信息。有关 SSL/TLS 证书的更多信息,请参阅 Lightsail 中的 SSL/TLS 证书。查看器是一种向与 Lightsail 分配关联的边缘站点发出 HTTP 请求的应用程序。有关分配的更多信息,请参阅 Lightsail 中的内容分发网络分配。
当您为分配启用自定义域时,默认情况下会配置 TLSv1.2_2021 协议版本。如本指南后面所述,您可以配置不同的协议版本。Lightsail 分配不支持自定义 TLS 协议版本。
受支持的协议
可以使用以下 TLS 协议配置 Lightsail 分配:
-
(推荐)TLSv1.2_2021
-
TLSv1.2_2019
-
TLSv1.2_2018
-
TLSv1.1_2016
先决条件
满足以下先决条件(如果尚未满足):
确定您的分配的最低 TLS 协议版本
完成以下步骤以确定您的 Lightsail 分配的最低 TLS 协议版本
注意
在本指南中,您将使用 AWS CloudShell 执行升级。CloudShell 是一个基于浏览器的预先验证 shell,您可以直接从 Lightsail 控制台中启动此 shell。借助 CloudShell,您可以使用自己喜爱的 shell(Bash、PowerShell 或 Z shell)来运行 AWS CLI 命令。您无需下载或安装命令行工具,即可完成此操作。有关如何设置和使用 CloudShell 的更多信息,请参阅 Lightsail 中的 AWS CloudShell。
-
打开终端、AWS CloudShell 或命令提示符窗口。
-
输入以下命令以确定您的 Lightsail 分配的最低 TLS 协议版本。
aws lightsail get-distributions --distribution-nameDistributionName--region us-east-1 | grep "viewerMinimumTlsProtocolVersion"在命令中,将
DistributionName替换为要修改的分配名称。示例
aws lightsail get-distributions --distribution-nameDistribution-1--region us-east-1 | grep "viewerMinimumTlsProtocolVersion"该命令将返回分配的最低 TLS 协议版本的 ID。
示例
"viewerMinimumTlsProtocolVersion": "TLSv1.2_2021"
使用 AWS CLI 配置最低 TLS 协议版本
完成以下过程以使用 AWS Command Line Interface(AWS CLI)配置 TLS 协议版本。使用 update-distribution 命令完成此操作。有关更多信息,请参阅 AWS CLI 命令参考中的 update-distribution 属性。
-
打开终端、AWS CloudShell 或命令提示符窗口。
-
输入以下命令以更改分配的最低 TLS 协议版本。
aws lightsail update-distribution --distribution-nameDistributionName--viewer-minimum-tls-protocol-versionProtocolVersion在该命令中,将以下示例文本替换为自己的文本:
-
DistributionName替换为要更新的分配名称。 -
ProtocolVersion替换为有效的 TLS 协议版本。例如,TLSv1.2_2021或TLSv1.2_2019。
例如:
aws lightsail update-distribution --distribution-nameMyDistribution--viewer-minimum-tls-protocol-versionTLSv1.2_2021您的更改需要一些时间才能生效。
-
