為您的 Application Load Balancer 建立 HTTPS 接聽程式

使用主控台新增 HTTPS 接聽程式

1. 在 EC2 開啟 Amazon https://console.aws.amazon.com/ec2/ 主控台。

2. 在導覽窗格上選擇 Load Balancers (負載平衡器)。

3. 選取負載平衡器。

4. 在接聽程式和規則索引標籤上，選擇新增接聽程式。

5. 針對通訊協定 ：連接埠，選擇 HTTPS 並保留預設連接埠，或輸入不同的連接埠。

6. (選用) 若要啟用身分驗證，請在身分驗證下選取使用 OpenID 或 Amazon Cognito，然後提供請求的資訊。如需詳細資訊，請參閱使用 Application Load Balancer 來驗證使用者身分。

7. 針對 Default actions (預設動作)，執行下列其中一項作業：

   • 轉送至目標群組 – 選擇一個或多個要將流量轉送至其中的目標群組。若要新增目標群組，請選擇新增目標群組。如果使用多個目標群組，請為每個目標群組選取權重，並檢閱相關的百分比。如果您已在一個或多個目標群組上啟用粘性，則必須在規則上啟用群組層級粘性。

   • 重新導向至 URL – 指定用戶端請求要重新導向的 URL。這可以透過在 URI 部分索引標籤上分別輸入每個部分，或在完整 URL 索引標籤上輸入完整地址來完成。對於狀態碼，您可以根據您的需求將重新導向設定為暫時 (HTTP 302) 或永久 (HTTP 301)。

   • 傳回固定回應 – 指定回應代碼，此代碼將傳回至遭捨棄的用戶端請求。此外，您可以指定內容類型和回應內文，但這並非必填的資訊。

8. 對於安全政策，建議您一律使用最新的預先定義安全政策。

9. 對於預設 SSL/TLS 憑證，可使用下列選項：

   • 如果您使用 建立或匯入憑證 AWS Certificate Manager，請選取從 ACM，然後從選取憑證中選取憑證。

   • 如果您使用 IAM 匯入憑證，請選取從 IAM，然後從選取憑證中選取您的憑證。

   • 如果您有要匯入的憑證，但 區域無法使用 ACM，請選取匯入，然後選取至 IAM。在憑證名稱欄位輸入憑證名稱。在憑證私有金鑰中，複製並貼上私有金鑰檔案的內容 (PEM編碼）。在憑證內文中，複製並貼上公有金鑰憑證檔案 （以PEM編碼） 的內容。在憑證鏈中，複製並貼上憑證鏈檔案的內容 (PEM編碼），除非您使用自我簽署憑證，而且瀏覽器不一定要隱含接受憑證。

10. （選用） 若要啟用相互身分驗證，請在用戶端憑證處理下啟用相互身分驗證 (mTLS)。

    啟用時，預設的相互 TLS 模式為傳遞。

    如果您選擇使用 Trust Store 驗證：

    • 根據預設，具有過期用戶端憑證的連線會遭到拒絕。若要變更此行為，請展開進階 mTLS 設定，然後在用戶端憑證過期下，選取允許過期的用戶端憑證。

    • 在信任存放區下選擇現有的信任存放區，或選擇新的信任存放區。

      • 如果您選擇新的信任存放區，請提供信任存放區名稱、S3 URI 憑證授權單位位置，以及選用的 S3 URI 憑證撤銷清單位置。

    • （選用） 如果您想要啟用 Advertise TrustStore CA 主題名稱，請選擇此選項。

11. 選擇 Save (儲存)。