本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

SSLClassic Load Balancer 的 /TLS 憑證

如果您將 HTTPS（SSL 或 TLS） 用於前端接聽程式，則必須在負載平衡器上部署 SSL/TLS 憑證。負載平衡器使用此憑證終止連接，然後解密用戶端的請求，再將它們傳送到執行個體。

SSL 和 TLS通訊協定使用 X.509 憑證 （SSL/TLS 伺服器憑證） 來驗證用戶端和後端應用程式。X.509 憑證是憑證授權機構 (CA) 發出的數位身分證，其中包含識別資訊、有效期間、公有金鑰、序號和發行機構的數位簽章。

您可以使用 AWS Certificate Manager 或支援 SSL和 TLS通訊協定的工具來建立憑證，例如 Open SSL。當您為負載平衡器建立或更新HTTPS接聽程式時，您將指定此憑證。建立憑證以搭配您的負載平衡器使用時，您必須指定網域名稱。

建立憑證以搭配您的負載平衡器使用時，您必須指定網域名稱。憑證上的網域名稱必須與自訂網域名稱記錄相符。如果不相符，將不會加密流量，因為無法驗證TLS連線。

您必須為憑證指定完整網域名稱 （FQDN），例如 www.example.com或 apex 網域名稱，例如 example.com。您也可以使用星號 (*) 做為萬用字元，以保護相同網域中的多個網站名稱。請求萬用字元憑證時，星號 (*) 必須在網域名稱的最左方，而且僅能保護一個子網域層級。例如，*.example.com 保護 corp.example.com 和 images.example.com，但它無法保護 test.login.example.com。另請注意，*.example.com 只可以保護 example.com 的子網域，無法保護 bare 或 apex 網域 (example.com)。萬用字元名稱會顯示於 ACM 憑證的主體欄位和憑證的主體別名延伸。如需公有憑證的詳細資訊，請參閱 AWS Certificate Manager 使用者指南中的請求公有憑證。

使用 建立或匯入 SSL/TLS 憑證 AWS Certificate Manager

建議您使用 AWS Certificate Manager （ACM） 來建立或匯入負載平衡器的憑證。ACM 與 Elastic Load Balancing 整合，讓您可以在負載平衡器上部署憑證。若要在負載平衡器上部署憑證，此憑證必須位於和負載平衡器同一個區域。如需詳細資訊，請參閱《AWS Certificate Manager 使用者指南》中的請求公有憑證或匯入憑證。

若要允許使用者使用 在負載平衡器上部署憑證 AWS Management Console，您必須允許存取 ACMListCertificatesAPI動作。如需詳細資訊，請參閱 AWS Certificate Manager 使用者指南中的列出憑證。

使用 匯入 SSL/TLS 憑證 IAM

如果您不使用 ACM，則可以使用 SSL/TLS 工具，例如 Open SSL來建立憑證簽署請求 （CSR）、取得 CA CSR簽署來產生憑證，並將憑證上傳到 IAM。如需詳細資訊，請參閱 IAM 使用者指南 中的使用伺服器憑證。