本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
经典负载均衡器的预定义SSL安全策略
您可以为HTTPS/SSL监听器选择一种预定义的安全策略。您可以使用其中一个ELBSecurityPolicy-TLS
策略来满足要求禁用某些TLS协议版本的合规性和安全标准。或者,您也可以创建自定义安全策略。有关更多信息,请参阅 更新SSL协商配置。
DSA基于 RSA-和的密码特定于用于创建SSL证书的签名算法。请务必使用签名算法创建SSL证书,该算法基于为安全策略启用的密码。
如果选择为“服务器顺序首选项”启用的策略,则负载均衡器会按密码在这里的指定顺序使用密码,以协商客户端与负载均衡器之间的连接。否则,负载均衡器会按客户端提供的密码的顺序使用密码。
下表描述了经典负载均衡器的最新预定义安全策略,包括其启用的SSL协议、SSL密码和默认策略。ELBSecurityPolicy-2016-08
为了使策略名称能够容纳在标题行中,已将 ELBSecurityPolicy-
从名称中删除。
提示
此表仅适用于经典负载均衡器。有关适用于其他负载均衡器的信息,请参阅适用于 Application Load Balancer 的安全策略和适用于 Network Load Balancer 的安全策略。
安全策略 | 2016-08 | TLS-1-1-2017-01 | TLS-1-2-2017-01 | 2015-05 | 2015-03 | 2015-02 |
---|---|---|---|---|---|---|
SSL协议 | ||||||
协议-TLSv1 |
✓ | ✓ | ✓ | ✓ | ||
协议-TLSv1 .1 |
✓ | ✓ | ✓ | ✓ | ✓ | |
协议-TLSv1 .2 |
✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
SSL选项 | ||||||
服务器顺序首选项 |
✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
SSL密码 | ||||||
ECDHE-ECDSA-AES128-GCM-SHA256 |
✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
ECDHE-RSA-AES128-GCM-SHA256 |
✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
ECDHE-ECDSA-AES128-SHA256 |
✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
ECDHE-RSA-AES128-SHA256 |
✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
ECDHE-ECDSA-AES128-SHA |
✓ | ✓ | ✓ | ✓ | ✓ | |
ECDHE-RSA-AES128-SHA | ✓ | ✓ | ✓ | ✓ | ✓ | |
DHE-RSA-AES128-SHA | ✓ | ✓ | ||||
ECDHE-ECDSA-AES256-GCM-SHA384 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
ECDHE-RSA-AES256-GCM-SHA384 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
ECDHE-ECDSA-AES256-SHA384 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
ECDHE-RSA-AES256-SHA384 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
ECDHE-RSA-AES256-SHA | ✓ | ✓ | ✓ | ✓ | ✓ | |
ECDHE-ECDSA-AES256-SHA | ✓ | ✓ | ✓ | ✓ | ✓ | |
AES128-GCM-SHA256 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
AES128-SHA256 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
AES128-SHA | ✓ | ✓ | ✓ | ✓ | ✓ | |
AES256-GCM-SHA384 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
AES256-SHA256 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
AES256-SHA | ✓ | ✓ | ✓ | ✓ | ✓ | |
DHE-DSS-AES128-SHA | ✓ | ✓ | ||||
DES-CBC3-SHA | ✓ | ✓ |
预定义安全策略
下面是经典负载均衡器的预定义安全策略。要描述预定义的策略,请使用describe-load-balancer-policies命令。
-
ELBSecurityPolicy-2016-08
-
ELBSecurityPolicy--1-2-2017 TLS -01
-
ELBSecurityPolicy--1-1-2017 TLS -01
-
ELBSecurityPolicy-2015-05
-
ELBSecurityPolicy-2015-03
-
ELBSecurityPolicy-2015-02
-
ELBSecurityPolicy-2014-10
-
ELBSecurityPolicy-2014-01
-
ELBSecurityPolicy-2011-08
-
ELBSample-ELBDefaultNegotiationPolicy 或 ELBSample-ELBDefaultCipherPolicy
-
ELBSample-O penSSLDefault NegotiationPolicy 或 ELBSample-O penSSLDefault CipherPolicy