Classic Load Balancer 的 SSL/TLS 憑證

若您對前端接聽程式使用 HTTPS (SSL 或 TLS)，您必須在負載平衡器上部署 SSL/TLS 憑證。負載平衡器使用此憑證終止連接，然後解密用戶端的請求，再將它們傳送到執行個體。

SSL 和 TLS 通訊協定使用 X.509 憑證 (SSL/TLS 伺服器憑證) 以驗證用戶端和後端應用程式。X.509 憑證是憑證授權機構 (CA) 發出的數位身分證，其中包含識別資訊、有效期間、公有金鑰、序號和發行機構的數位簽章。

您可以使用 AWS Certificate Manager 或支援 SSL 和 TLS 通訊協定 (例如 OpenSSL) 的工具來建立憑證。當您為負載平衡器建立或更新 HTTPS 接聽程式時，您將會指定此憑證。建立憑證以搭配您的負載平衡器使用時，您必須指定網域名稱。

建立憑證以搭配您的負載平衡器使用時，您必須指定網域名稱。憑證上的網域名稱必須與自訂網域名稱記錄相符。如果它們不相符，流量將不會得到加密，因為無法驗證 TLS 連線。

您必須為憑證指定完整網域名稱 (FQDN)，例如 www.example.com；或者指定 apex 網域名稱 (FQDN)，例如 example.com。您也可以使用星號 (*) 做為萬用字元，以保護相同網域中的多個網站名稱。請求萬用字元憑證時，星號 (*) 必須在網域名稱的最左方，而且僅能保護一個子網域層級。例如，*.example.com 保護 corp.example.com 和 images.example.com，但它無法保護 test.login.example.com。另請注意，*.example.com 只可以保護 example.com 的子網域，無法保護 bare 或 apex 網域 (example.com)。萬用字元名稱會顯示於 ACM 憑證的主體欄位和憑證的主體別名延伸。如需公有憑證的詳細資訊，請參閱 AWS Certificate Manager 使用者指南中的請求公有憑證。

使用以下方式建立或匯入 SSL/TLS 憑證 AWS Certificate Manager

建議您使用 AWS Certificate Manager (ACM) 為負載平衡器建立或匯入憑證。ACM 會與 Elastic Load Balancing 整合，以便您在負載平衡器上部署憑證。若要在負載平衡器上部署憑證，此憑證必須位於和負載平衡器同一個區域。如需詳細資訊，請參閱《AWS Certificate Manager 使用者指南》中的請求公有憑證或匯入憑證。

若要允許使用者使用 AWS Management Console在負載平衡器上部署憑證，您必須允許存取 ACM ListCertificates API 動作。如需詳細資訊，請參閱 AWS Certificate Manager 使用者指南中的列出憑證。

重要

您不能透過與 ACM 的整合，在您的負載平衡器上安裝具有 4096 位元 RSA 金鑰或 EC 金鑰的憑證。您必須將具有 4096 位元 RSA 金鑰或 EC 金鑰的憑證上傳至 IAM，才能使用它們搭配您的負載平衡器。

使用 IAM 匯入 SSL/TLS 憑證

如果您未使用 ACM，則可以使用 SSL/TLS 工具 例如 OpenSSL) 建立憑證簽署請求 (CSR)、取得由 CA 簽署的憑證以產生 CSR，並上傳憑證至 IAM。如需詳細資訊，請參閱 IAM 使用者指南中的使用伺服器憑證。