Classic Load Balancer 的 SSL 溝通組態

Elastic Load Balancing 使用 Secure Sockets Layer (SSL) 交涉組態 (稱為安全政策)，在用戶端與負載平衡器之間交涉 SSL 連線。安全政策結合 SSL 通訊協定、SSL 加密及伺服器優先順序選項。如需有關設定負載平衡器的 SSL 連線的詳細資訊，請參閱Classic Load Balancer 的接聽程式。

安全政策

在用戶端和負載平衡器之間 SSL 交涉期間，安全政策決定支援哪些加密方式和通訊協定。您可以設定 Classic Load Balancer 使用預先定義或自訂安全政策。

請注意， AWS Certificate Manager (ACM) 提供的憑證包含 RSA 公有金鑰。因此，如果您使用 ACM 提供的憑證，您必須在安全政策中包含使用 RSA 的加密套件，否則 TLS 連線失敗。

預先定義的安全政策

最新的預先定義安全政策名稱包含根據年和月發佈的版本資訊。例如，預設的預先定義安全政策為 ELBSecurityPolicy-2016-08。每當發佈新的預先定義安全政策時，您可以更新設定以使用它。

如需為預先定義安全政策啟用通訊協定和加密的相關詳細資訊，請參閱Classic Load Balancer 適用的預先定義 SSL 安全政策。

自訂安全政策

您可以建立含所需的加密方式和通訊協定的自訂溝通組態。舉例來說，有些安全合規標準 (例如 PCI 和 SOC) 可能需要一組特定的通訊協定和加密方式，以確保符合安全標準。在這種情況下，您可以建立自訂安全政策以符合這些標準。

如需建立自訂安全政策的詳細資訊，請參閱更新 Classic Load Balancer 的 SSL 溝通組態。

SSL 通訊協定

SSL 通訊協定會在用戶端與伺服器之間建立安全連線，並確保在用戶端與負載平衡器之間傳遞的所有資料為私有。

Secure Sockets Layer (SSL) 和 Transport Layer Security (TLS) 是用於加密機密資料的加密通訊協定 (透過安全網路，例如網際網路)。TLS 通訊協定是較新版本的 SSL 協定。在 Elastic Load Balancing 文件中，我們同時將SSL 和 TLS 通訊協定指為 SSL 通訊協定。

建議的通訊協定

建議使用 TLS 1.2，其用於 ELBSecurityPolicy-TLS-1-2-2017-01 預先定義的安全政策中。也可以在自訂安全政策中使用 TLS 1.2。預設安全政策支援 TLS 1.2 和更早版本的 TLS，因此其安全性低於 ELBSecurityPolicy-TLS-1-2-2017-01。

已廢除的通訊協定

如果之前已在自訂政策中啟用 SSL 2.0 通訊協定，則建議您將安全政策更新至預先定義的安全政策之一。

伺服器優先順序

Elastic Load Balancing 支援適用於用戶端和負載平衡器之間溝通連線的伺服器優先順序選項。在 SSL 連線交涉程序期間，用戶端與負載平衡器會出示它們分別支援的加密和通訊協定的清單 (以偏好的順序)。在預設情況下，將針對 SSL 安全連線選取用戶端清單上符合任何負載平衡器加密的第一個加密。如果負載平衡器設定為支援伺服器優先順序，則該負載平衡器會在清單中 (亦即用戶端加密清單) 選擇第一個加密。這可確保負載平衡器決定將加密用於 SSL 連線。如果您不啟用伺服器優先順序，用戶端顯示的加密順序是用於溝通用戶端和負載平衡器之間的連線。

SSL 加密

SSL 加密是一項加密演算法，使用加密金鑰來建立編碼的訊息。SSL 通訊協定使用數個 SSL 密碼透過網際網路為資料加密。

Elastic Load Balancing 支援下列可與 Classic Load Balancer 搭配使用的加密方式。這些密碼的子集會使用預先定義的 SSL 政策。所有這些加密方式可用於自訂政策。我們建議您使用僅使用包含在預設安全政策 (加星號者) 的加密方式。許多其他加密方式並不安全，應自擔風險來使用。

加密方式

ECDHE-ECDSA-AES128-GCM-SHA256 *
ECDHE-RSA-AES128-GCM-SHA256 *
ECDHE-ECDSA-AES128-SHA256 *
ECDHE-RSA-AES128-SHA256 *
ECDHE-ECDSA-AES128-SHA *
ECDHE-RSA-AES128-SHA *
DHE-RSA-AES128-SHA
ECDHE-ECDSA-AES256-GCM-SHA384 *
ECDHE-RSA-AES256-GCM-SHA384 *
ECDHE-ECDSA-AES256-SHA384 *
ECDHE-RSA-AES256-SHA384 *
ECDHE-RSA-AES256-SHA *
ECDHE-ECDSA-AES256-SHA *
AES128-GCM-SHA256 *
AES128-SHA256 *
AES128-SHA *
AES256-GCM-SHA384 *
AES256-SHA256 *
AES256-SHA *
DHE-DSS-AES128-SHA
CAMELLIA128-SHA
EDH-RSA-DES-CBC3-SHA
DES-CBC3-SHA
ECDHE-RSA-RC4-SHA
RC4-SHA
ECDHE-ECDSA-RC4-SHA
DHE-DSS-AES256-GCM-SHA384
DHE-RSA-AES256-GCM-SHA384
DHE-RSA-AES256-SHA256
DHE-DSS-AES256-SHA256
DHE-RSA-AES256-SHA
DHE-DSS-AES256-SHA
DHE-RSA-CAMELLIA256-SHA
DHE-DSS-CAMELLIA256-SHA
CAMELLIA256-SHA
EDH-DSS-DES-CBC3-SHA
DHE-DSS-AES128-GCM-SHA256
DHE-RSA-AES128-GCM-SHA256
DHE-RSA-AES128-SHA256
DHE-DSS-AES128-SHA256
DHE-RSA-CAMELLIA128-SHA
DHE-DSS-CAMELLIA128-SHA
ADH-AES128-GCM-SHA256
ADH-AES128-SHA
ADH-AES128-SHA256
ADH-AES256-GCM-SHA384
ADH-AES256-SHA
ADH-AES256-SHA256
ADH-CAMELLIA128-SHA
ADH-CAMELLIA256-SHA
ADH-DES-CBC3-SHA
ADH-DES-CBC-SHA
ADH-RC4-MD5
ADH-SEED-SHA
DES-CBC-SHA
DHE-DSS-SEED-SHA
DHE-RSA-SEED-SHA
EDH-DSS-DES-CBC-SHA
EDH-RSA-DES-CBC-SHA
IDEA-CBC-SHA
RC4-MD5
SEED-SHA
DES-CBC3-MD5
DES-CBC-MD5
RC2-CBC-MD5
PSK-AES256-CBC-SHA
PSK-3DES-EDE-CBC-SHA
KRB5-DES-CBC3-SHA
KRB5-DES-CBC3-MD5
PSK-AES128-CBC-SHA
PSK-RC4-SHA
KRB5-RC4-SHA
KRB5-RC4-MD5
KRB5-DES-CBC-SHA
KRB5-DES-CBC-MD5
EXP-EDH-RSA-DES-CBC-SHA
EXP-EDH-DSS-DES-CBC-SHA
EXP-ADH-DES-CBC-SHA
EXP-DES-CBC-SHA
EXP-RC2-CBC-MD5
EXP-KRB5-RC2-CBC-SHA
EXP-KRB5-DES-CBC-SHA
EXP-KRB5-RC2-CBC-MD5
EXP-KRB5-DES-CBC-MD5
EXP-ADH-RC4-MD5
EXP-RC4-MD5
EXP-KRB5-RC4-SHA
EXP-KRB5-RC4-MD5

* 這些是預設安全政策 ELBSecurityPolicy-2016-08 中包含的密碼。

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

SSL/TLS 憑證

預先定義的 SSL 安全政策