为您的 Application Load Balancer 更新 HTTPS 侦听器 - Elastic Load Balancing

为您的 Application Load Balancer 更新 HTTPS 侦听器

创建 HTTPS 侦听器后,您可以替换默认证书、更新证书列表或替换安全策略。

替换默认证书

您可以使用以下过程替换侦听器的默认证书。有关更多信息,请参阅 应用程序负载均衡器的 SSL 证书

使用控制台更改默认证书
  1. 通过以下网址打开 Amazon EC2 控制台:https://console.aws.amazon.com/ec2/

  2. 在导航窗格中,选择负载均衡器

  3. 选择负载均衡器。

  4. 侦听器和规则选项卡上,选择协议:端口列中的文本以打开侦听器的详细信息页面。

  5. 证书选项卡上,选择更改默认值

  6. 在 ACM 和 IAM 证书表中,选择新的默认证书。

  7. 选择另存为默认值

使用 AWS CLI 更改默认证书

使用 modify-listener 命令。

将证书添加到证书列表

您可使用以下过程将证书添加到侦听器的证书列表。首次创建 HTTPS 侦听器时,证书列表为空。可以添加一个或多个证书。您可以选择添加默认证书,以确保此证书与 SNI 协议一起使用,即使它被替换为默认证书也是如此。有关更多信息,请参阅 应用程序负载均衡器的 SSL 证书

使用控制台更改默认证书
  1. 通过以下网址打开 Amazon EC2 控制台:https://console.aws.amazon.com/ec2/

  2. 在导航窗格中,选择负载均衡器

  3. 选择负载均衡器。

  4. 侦听器和规则选项卡上,选择协议:端口列中的文本以打开侦听器的详细信息页面。

  5. 证书选项卡上,选择添加证书

  6. 在 ACM 和 IAM 证书表中,选择要添加的证书,然后选择包含如下待处理事项

  7. 如果您有一个未由 ACM 或 IAM 管理的证书,则选择导入证书,完成表格,然后选择导入

  8. 选择添加待处理证书

使用 AWS CLI 将证书添加到证书列表

使用 add-listener-certificates 命令。

从证书列表中删除证书

您可以使用以下过程从 HTTPS 侦听器的证书列表中删除证书。要删除 HTTPS 侦听器的默认证书,请参阅 替换默认证书

使用控制台从证书列表中删除证书
  1. 通过以下网址打开 Amazon EC2 控制台:https://console.aws.amazon.com/ec2/

  2. 在导航窗格中,选择负载均衡器

  3. 选择负载均衡器。

  4. 侦听器和规则选项卡上,选择协议:端口列中的文本以打开侦听器的详细信息页面。

  5. 证书选项卡上,选中证书对应的复选框,然后选择删除

  6. 提示进行确认时,输入 confirm,然后选择删除

使用 AWS CLI 从证书列表中删除证书

使用 remove-listener-certificates 命令。

更新安全策略

在创建 HTTPS 侦听器时,您可以选择满足您的需求的安全策略。添加新的安全策略后,您可以将 HTTPS 侦听器更新为使用此新安全策略。Application Load Balancer 不支持自定义安全策略。有关更多信息,请参阅 应用程序负载均衡器的安全策略

在应用程序负载均衡器上使用 FIPS 策略:

附加到应用程序负载均衡器的所有安全侦听器都必须使用 FIPS 安全策略或非 FIPS 安全策略;它们不能混合使用。如果现有应用程序负载均衡器有两个或更多使用非 FIPS 策略的侦听器,并且您希望侦听器改用 FIPS 安全策略,请删除所有侦听器,直到只有一个为止。将侦听器的安全策略更改为 FIPS,然后使用 FIPS 安全策略创建其他侦听器。或者,您可以仅使用 FIPS 安全策略创建具有新侦听器的新应用程序负载均衡器。

使用控制台更新安全策略
  1. 通过以下网址打开 Amazon EC2 控制台:https://console.aws.amazon.com/ec2/

  2. 在导航窗格中,选择负载均衡器

  3. 选择负载均衡器。

  4. 侦听器和规则选项卡上,选择协议:端口列中的文本以打开侦听器的详细信息页面。

  5. 详细信息页面上,选择操作,然后选择编辑侦听器

  6. 安全侦听器设置部分的安全策略下,选择新的安全策略。

  7. 选择 Save changes(保存更改)

使用 AWS CLI 更新安全策略

使用 modify-listener 命令。