SSL Classic Load Balancer 的交涉組態

Elastic Load Balancing 使用 Secure Socket Layer （SSL）交涉組態，稱為安全政策 ，來交涉用戶端與負載平衡器之間的SSL連線。安全政策是SSL通訊協定、SSL密碼和 Server Order 偏好設定選項的組合。如需為負載平衡器設定SSL連線的詳細資訊，請參閱 Classic Load Balancer 的接聽程式。

安全政策

安全政策會決定用戶端與負載平衡器之間的SSL交涉期間支援哪些密碼和通訊協定。您可以設定 Classic Load Balancer 使用預先定義或自訂安全政策。

請注意， AWS Certificate Manager （ACM）提供的憑證包含RSA公有金鑰。因此，如果您使用提供的憑證，則必須在安全政策RSA中使用密碼套件ACM；否則，TLS連線會失敗。

預先定義的安全政策

最新的預先定義安全政策名稱包含根據年和月發佈的版本資訊。例如，預設的預先定義安全政策為 ELBSecurityPolicy-2016-08。每當發佈新的預先定義安全政策時，您可以更新設定以使用它。

如需為預先定義安全政策啟用通訊協定和加密的相關詳細資訊，請參閱Classic Load Balancer 的預先定義SSL安全政策。

自訂安全政策

您可以建立含所需的加密方式和通訊協定的自訂溝通組態。例如，某些安全合規標準（例如 PCI和 SOC）可能需要一組特定的通訊協定和密碼，以確保符合安全標準。在這種情況下，您可以建立自訂安全政策以符合這些標準。

如需建立自訂安全政策的詳細資訊，請參閱更新 Classic Load Balancer SSL 的交涉組態。

SSL 通訊協定

SSL 通訊協定會在用戶端和伺服器之間建立安全連線，並確保用戶端和負載平衡器之間傳遞的所有資料皆為私有。

Secure Sockets Layer （SSL）和 Transport Layer Security （TLS）是密碼編譯通訊協定，用於透過網際網路等不安全的網路加密機密資料。TLS 通訊協定是新版的SSL通訊協定。在 Elastic Load Balancing 文件中，我們將 SSL和 TLS通訊協定稱為SSL通訊協定。

建議的通訊協定

我們建議 TLS 1.2，用於 ELBSecurityPolicy-TLS-1-2-2017-01 預先定義的安全政策。您也可以在自訂安全政策中使用 TLS 1.2。預設安全政策同時支援 TLS 1.2 和舊版TLS，因此其安全性低於 ELBSecurityPolicy-TLS-1-2-2017-01。

已廢除的通訊協定

如果您先前已在自訂政策中啟用 SSL 2.0 通訊協定，建議您將安全政策更新為其中一個預先定義的安全政策。

伺服器優先順序

Elastic Load Balancing 支援適用於用戶端和負載平衡器之間溝通連線的伺服器優先順序選項。在SSL連線交涉過程中，用戶端和負載平衡器會依偏好列出他們各自支援的加密和通訊協定清單。根據預設，用戶端清單上符合任何一個負載平衡器密碼的第一個密碼會選取用於SSL連線。如果負載平衡器設定為支援伺服器優先順序，則該負載平衡器會在清單中 (亦即用戶端加密清單) 選擇第一個加密。這可確保負載平衡器決定用於SSL連線的密碼。如果您不啟用伺服器優先順序，用戶端顯示的加密順序是用於溝通用戶端和負載平衡器之間的連線。

SSL 密碼

SSL 密碼是一種加密演算法，使用加密金鑰來建立編碼訊息。SSL 通訊協定使用數個SSL密碼來加密網際網路上的資料。

Elastic Load Balancing 支援下列可與 Classic Load Balancer 搭配使用的加密方式。這些密碼的子集會由預先定義的SSL政策使用。所有這些加密方式可用於自訂政策。我們建議您使用僅使用包含在預設安全政策 (加星號者) 的加密方式。許多其他加密方式並不安全，應自擔風險來使用。

加密方式

ECDHE-ECDSA-AES128-GCM-SHA256 *
ECDHE-RSA-AES128-GCM-SHA256 *
ECDHE-ECDSA-AES128-SHA256 *
ECDHE-RSA-AES128-SHA256 *
ECDHE-ECDSA-AES128-SHA *
ECDHE-RSA-AES128-SHA *
DHE-RSA-AES128-SHA
ECDHE-ECDSA-AES256-GCM-SHA384 *
ECDHE-RSA-AES256-GCM-SHA384 *
ECDHE-ECDSA-AES256-SHA384 *
ECDHE-RSA-AES256-SHA384 *
ECDHE-RSA-AES256-SHA *
ECDHE-ECDSA-AES256-SHA *
AES128-GCM-SHA256 *
AES128-SHA256 *
AES128-SHA *
AES256-GCM-SHA384 *
AES256-SHA256 *
AES256-SHA *
DHE-DSS-AES128-SHA
CAMELLIA128-SHA
EDH-RSA-DES-CBC3-SHA
DES-CBC3-SHA
ECDHE-RSA-RC4-SHA
RC4-SHA
ECDHE-ECDSA-RC4-SHA
DHE-DSS-AES256-GCM-SHA384
DHE-RSA-AES256-GCM-SHA384
DHE-RSA-AES256-SHA256
DHE-DSS-AES256-SHA256
DHE-RSA-AES256-SHA
DHE-DSS-AES256-SHA
DHE-RSA-CAMELLIA256-SHA
DHE-DSS-CAMELLIA256-SHA
CAMELLIA256-SHA
EDH-DSS-DES-CBC3-SHA
DHE-DSS-AES128-GCM-SHA256
DHE-RSA-AES128-GCM-SHA256
DHE-RSA-AES128-SHA256
DHE-DSS-AES128-SHA256
DHE-RSA-CAMELLIA128-SHA
DHE-DSS-CAMELLIA128-SHA
ADH-AES128-GCM-SHA256
ADH-AES128-SHA
ADH-AES128-SHA256
ADH-AES256-GCM-SHA384
ADH-AES256-SHA
ADH-AES256-SHA256
ADH-CAMELLIA128-SHA
ADH-CAMELLIA256-SHA
ADH-DES-CBC3-SHA
ADH-DES-CBC-SHA
ADH-RC4-MD5
ADH-SEED-SHA
DES-CBC-SHA
DHE-DSS-SEED-SHA
DHE-RSA-SEED-SHA
EDH-DSS-DES-CBC-SHA
EDH-RSA-DES-CBC-SHA
IDEA-CBC-SHA
RC4-MD5
SEED-SHA
DES-CBC3-MD5
DES-CBC-MD5
RC2-CBC-MD5
PSK-AES256-CBC-SHA
PSK-3DES-EDE-CBC-SHA
KRB5-DES-CBC3-SHA
KRB5-DES-CBC3-MD5
PSK-AES128-CBC-SHA
PSK-RC4-SHA
KRB5-RC4-SHA
KRB5-RC4-MD5
KRB5-DES-CBC-SHA
KRB5-DES-CBC-MD5
EXP-EDH-RSA-DES-CBC-SHA
EXP-EDH-DSS-DES-CBC-SHA
EXP-ADH-DES-CBC-SHA
EXP-DES-CBC-SHA
EXP-RC2-CBC-MD5
EXP-KRB5-RC2-CBC-SHA
EXP-KRB5-DES-CBC-SHA
EXP-KRB5-RC2-CBC-MD5
EXP-KRB5-DES-CBC-MD5
EXP-ADH-RC4-MD5
EXP-RC4-MD5
EXP-KRB5-RC4-SHA
EXP-KRB5-RC4-MD5

* 這些是預設安全政策 ELBSecurityPolicy-2016-08 中包含的密碼。

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

SSL/TLS 憑證

預先定義的SSL安全政策