Network Load Balancer 的 TLS 接聽程式

若要使用 TLS 接聽程式，您必須在負載平衡器上部署至少一個伺服器憑證。負載平衡器使用伺服器憑證終止前端連接，然後解密用戶端的請求，再將它們傳送到目標。請注意，如您需要傳送加密流量至目標，而不需要負載平衡器將其解密，請在連接埠 443 建立 TCP 接聽程式，而非建立 TLS 接聽程式。負載平衡器會依現狀傳遞請求至目標，而不會將其解密。

Elastic Load Balancing 使用 TLS 交涉組態 (稱為安全政策)，在用戶端與負載平衡器之間交涉 TLS 連線。安全政策為通訊協定與加密的組合。通訊協定會在用戶端與伺服器之間建立安全連線，並確保在用戶端與負載平衡器之間傳遞的所有資料為私有。隨碼是一項加密演算法，使用加密金鑰來建立編碼的訊息。通訊協定使用多個加密來加密透過網際網路的資料。在連線交涉程序期間，用戶端與負載平衡器會出示它們分別支援的加密和通訊協定的清單 (以偏好的順序)。系統會針對安全連線選取伺服器清單上符合任何用戶端加密的第一個加密。

Network Load Balancer 不支援重新交涉或雙向 TLS 驗證 (mTLS)。如需 mTLS 支援，請建立 TCP 接聽程式，而非 TLS 接聽程式。負載平衡器會依現狀傳遞請求，因此您可在目標實作 mTLS。

若要建立 TLS 接聽程式，請參閱新增接聽程式。如需相關示範，請參閱《Network Load Balancer 的 TLS 支援》與《Network Load Balancer 的 SNI 支援》。

伺服器憑證

負載平衡器需要 X.509 憑證 (伺服器憑證)。憑證為憑證授權機構 (CA) 發出的數位形式身分證明。憑證包含識別資訊、有效期間、公有金鑰、序號和發行者的數位簽章。

建立憑證以搭配您的負載平衡器使用時，您必須指定網域名稱。憑證上的網域名稱必須與自訂網域名稱記錄相符，如此我們就可以確認 TLS 連線。如果其不相符，就不會加密流量。

您必須為憑證指定完整網域名稱 (FQDN)，例如 www.example.com；或者指定 apex 網域名稱 (FQDN)，例如 example.com。您也可以使用星號 (*) 做為萬用字元，以保護相同網域中的多個網站名稱。請求萬用字元憑證時，星號 (*) 必須在網域名稱的最左方，而且僅能保護一個子網域層級。例如，*.example.com 保護 corp.example.com 和 images.example.com，但它無法保護 test.login.example.com。另請注意，*.example.com 只可以保護 example.com 的子網域，無法保護 bare 或 apex 網域 (example.com)。萬用字元名稱會顯示於憑證的主體欄位和主體別名延伸。如需公有憑證的詳細資訊，請參閱 AWS Certificate Manager 使用者指南中的請求公有憑證。

建議您使用 AWS Certificate Manager (ACM) 為負載平衡器建立憑證。ACM 會與 Elastic Load Balancing 整合，以便您在負載平衡器上部署憑證。如需詳細資訊，請參閱《 使用者指南》AWS Certificate Manager。

或者，您可利用 TLS 工具來建立憑證簽署請求 (CSR)、取得由 CA 簽署的 CSR 來產生憑證，然後匯入該憑證到 ACM 或上傳憑證至 AWS Identity and Access Management (IAM)。如需詳細資訊，請參閱《AWS Certificate Manager 使用者指南》的匯入憑證，或者《IAM 使用者指南》的使用伺服器憑證。

支持的關鍵算法

• RSA 1024-bit

• 安全局

• 三七十二位

• 256 位元

• 信用卡安全局 384 位

• 信息安全局 521 位

預設憑證

建立 TLS 接聽程式時，您必須指定剛好一個憑證。此憑證稱為預設憑證。您可以在建立 TLS 接聽程式之後取代預設憑證。如需詳細資訊，請參閱 更換預設憑證。

如果您在憑證清單中指定額外憑證，只有當用戶端連接時未使用伺服器名稱指示 (SNI) 通訊協定來指定主機名稱，或憑證清單中沒有相符的憑證時，才會使用預設憑證。

如果您不指定額外憑證，但需要透過單一負載平衡器來託管多個安全應用程式，您可以使用萬用字元憑證，或將每個額外網域的主體別名 (SAN) 新增至憑證。

憑證清單

TLS 接聽程式建立之後具有預設憑證和空的憑證清單。您可以選擇性將憑證新增至接聽程式的憑證清單。使用憑證清單可讓負載平衡器在相同連接埠上支援多個網域，並為每個網域提供不同的憑證。如需詳細資訊，請參閱 將憑證新增至憑證清單。

負載平衡器使用支援 SNI 的智慧憑證選擇演算法。如果用戶端提供的主機名稱符合憑證清單中的單一憑證，負載平衡器會選取此憑證。如果用戶端提供的主機名稱符合憑證清單中的多個憑證，負載平衡器會選取用戶端可支援的最佳憑證。憑證選擇是根據採用下列順序的以下條件：

• 雜湊演算法 (SHA 優於 MD5)

• 金鑰長度 (最好是最大)

• 有效期間

負載平衡器存取日誌項目會指出用戶端指定的主機名稱和向用戶端出示的憑證。如需詳細資訊，請參閱 存取日誌項目。

憑證續約

每個憑證均附帶有效期間。您必須確保在有效期間結束之前，續約或更換負載平衡器的每個憑證。這包括預設憑證和憑證清單中的憑證。續約或更換憑證不會影響負載平衡器節點收到並且等待路由到運作狀態良好目標的傳輸中請求。續約憑證之後，新請求會使用續約的憑證。更換憑證之後，新請求會使用新的憑證。

您可以如下所示管理憑證續約和更換：

• AWS Certificate Manager 提供和部署在您的負載平衡器上的憑證可以自動續約。ACM 會在憑證過期之前嘗試續約。如需詳細資訊，請參閱 AWS Certificate Manager 使用者指南中的受管續約。

• 如果您將憑證匯入至 ACM，則必須監控憑證的過期日期，並在憑證過期之前續約。如需詳細資訊，請參閱 AWS Certificate Manager 使用者指南中的匯入憑證。

• 如果您將憑證匯入至 IAM，則必須建立新的憑證、將新的憑證匯入至 ACM 或 IAM、將新憑證新增至負載平衡器，並從負載平衡器移除過期的憑證。

安全政策

建立 TLS 接聽程式時，您必須選取安全政策。您可以視需要更新安全政策。如需詳細資訊，請參閱 更新安全政策。

考量：

• 此原ELBSecurityPolicy-TLS13-1-2-2021-06則是使用建立的 TLS 接聽程式的預設安全性原則AWS Management Console。

  • 我們建議使用ELBSecurityPolicy-TLS13-1-2-2021-06安全性原則，其中包含 TLS 1.3，並且向後相容於 TLS 1.2。

• 此原ELBSecurityPolicy-2016-08則是使用建立的 TLS 接聽程式的預設安全性原則AWS CLI。

• 您可以選擇用於前端連線的安全性原則，但不能選擇後端連線。

  • 對於後端連線，如果 TLS 接聽程式使用的是 TLS 1.3 安全政策，則會使用 ELBSecurityPolicy-TLS13-1-0-2021-06 安全政策。否則會將 ELBSecurityPolicy-2016-08 安全政策用於後端連線。

• 若要符合需要停用特定 TLS 通訊協定版本的合規性和安全性標準，或是支援需要取代加密的舊版用戶端，您可以使用其中一個ELBSecurityPolicy-TLS-安全性原則。您可以啟用存取記錄以取得傳送至 Network Load Balancer 之 TLS 要求的相關資訊、分析 TLS 流量模式、管理安全性原則升級，以及疑難排解問題。啟用負載平衡器的存取記錄，並檢查對應的存取記錄項目。如需詳細資訊，請參閱《存取日誌》與《Network Load Balancer 範例查詢》。

• 您可以分別使用 IAM AWS 帳戶 和AWS Organizations服務控制政策 (SCP) 中的 E lastic Load Balancing 條件金鑰，來限制您的使用者可以使用哪些安全政策。如需詳細資訊，請參閱AWS Organizations使用指南中的服務控制原則 (SCP)

TLS 1.3 安全政策

注意

網路負載平衡器的 TLS 1.3 安全政策僅在新的 EC2 體驗中受到支援。使用舊的 EC2 體驗時，無法選擇 TLS 1.3 安全政策。

Elastic Load Balancing 為網路負載平衡器提供下列 TLS 1.3 安全性原則：

• ELBSecurityPolicy-TLS13-1-2-2021-06(推薦)

• ELBSecurityPolicy-TLS13-1-2-Res-2021-06

• ELBSecurityPolicy-TLS13-1-2-Ext1-2021-06

• ELBSecurityPolicy-TLS13-1-2-Ext2-2021-06

• ELBSecurityPolicy-TLS13-1-1-2021-06

• ELBSecurityPolicy-TLS13-1-0-2021-06

• ELBSecurityPolicy-TLS13-1-3-2021-06

FIPS 安全性原則

聯邦資訊處理標準 (FIPS) 是美國和加拿大政府的一項標準，針對保護敏感資訊的加密模組指定安全性要求。若要深入了解，請參閱AWS雲端安全性合規頁面上的聯邦資訊處理標準 (FIPS) 140。

所有 FIPS 原則均利用經過 AWS-LC FIPS 驗證的密碼編譯模組。若要深入了解，請參閱 NIST 密碼編譯模組驗證程式網站上的 AWS-LC 密碼編譯模組頁面。

Elastic Load Balancing 為 Network Load Balancer 提供下列 FIPS 安全性原則：

• ELBSecurityPolicy-TLS13-1-3-FIPS-2023-04

• ELBSecurityPolicy-TLS13-1-2-Res-FIPS-2023-04

• ELBSecurityPolicy-TLS13-1-2-FIPS-2023-04(推薦)

• ELBSecurityPolicy-TLS13-1-2-Ext0-FIPS-2023-04

• ELBSecurityPolicy-TLS13-1-2-Ext1-FIPS-2023-04

• ELBSecurityPolicy-TLS13-1-2-Ext2-FIPS-2023-04

• ELBSecurityPolicy-TLS13-1-1-FIPS-2023-04

• ELBSecurityPolicy-TLS13-1-0-FIPS-2023-04

FS 支援的政策

Elastic Load Balancing 為網路負載平衡器提供下列 FS (正向保密) 支援的安全性原則：

• ELBSecurityPolicy-FS-1-2-Res-2020-10

• ELBSecurityPolicy-FS-1-2-Res-2019-08

• ELBSecurityPolicy-FS-1-2-2019-08

• ELBSecurityPolicy-FS-1-1-2019-08

• ELBSecurityPolicy-FS-2018-06

TLS 1.0-1.2 安全性原則

Elastic Load Balancing 為網路負載平衡器提供下列 TLS 1.0-1.2 安全性原則：

• ELBSecurityPolicy-TLS-1-2-Ext-2018-06

• ELBSecurityPolicy-TLS-1-2-2017-01

• ELBSecurityPolicy-TLS-1-1-2017-01

• ELBSecurityPolicy-2016-08

• ELBSecurityPolicy-TLS-1-0-2015-04

• ELBSecurityPolicy-2015-05(等同於 ELBSecurityPolicy-2016-08)

TLS 通訊協定和密碼

TLS 1.3

下表說明可用 TLS 1.3 安全性原則所支援的 TLS 通訊協定和密碼。

注意：前ELBSecurityPolicy-置碼已從安全性原則列的原則名稱中移除。

範例：安全性原ELBSecurityPolicy-TLS13-1-2-2021-06則會顯示為TLS13-1-2-2021-06。

安全政策
TLS 通訊協定
Protocol-TLSv1							✓
Protocol-TLSv1.1						✓	✓
Protocol-TLSv1.2	✓		✓	✓	✓	✓	✓
Protocol-TLSv1.3	✓	✓	✓	✓	✓	✓	✓
TLS 加密
TLS_AES_128_GCM_SHA256	✓	✓	✓	✓	✓	✓	✓
TLS_AES_256_GCM_SHA384	✓	✓	✓	✓	✓	✓	✓
TLS_CHACHA20_POLY1305_SHA256	✓	✓	✓	✓	✓	✓	✓
ECDHE-ECDSA-AES128-GCM-SHA256	✓		✓	✓	✓	✓	✓
ECDHE-RSA-AES128-GCM-SHA256	✓		✓	✓	✓	✓	✓
ECDHE-ECDSA-AES128-SHA256	✓			✓	✓	✓	✓
ECDHE-RSA-AES128-SHA256	✓			✓	✓	✓	✓
ECDHE-ECDSA-AES128-SHA				✓		✓	✓
ECDHE-RSA-AES128-SHA				✓		✓	✓
ECDHE-ECDSA-AES256-GCM-SHA384	✓		✓	✓	✓	✓	✓
ECDHE-RSA-AES256-GCM-SHA384	✓		✓	✓	✓	✓	✓
ECDHE-ECDSA-AES256-SHA384	✓			✓	✓	✓	✓
ECDHE-RSA-AES256-SHA384	✓			✓	✓	✓	✓
ECDHE-RSA-AES256-SHA				✓		✓	✓
ECDHE-ECDSA-AES256-SHA				✓		✓	✓
AES128-GCM-SHA256				✓	✓	✓	✓
AES128-SHA256				✓	✓	✓	✓
AES128-SHA				✓		✓	✓
AES256-GCM-SHA384				✓	✓	✓	✓
AES256-SHA256				✓	✓	✓	✓
AES256-SHA				✓		✓	✓

若要使用 CLI 建立使用 TLS 1.3 原則的 TLS 接聽程式

使用建立接聽程式命令搭配任何 TLS 1.3 安全性原則。

此範例使用安ELBSecurityPolicy-TLS13-1-2-2021-06全性原則。

aws elbv2 create-listener --name my-listener \
--protocol TLS --port 443 \ 
--ssl-policy ELBSecurityPolicy-TLS13-1-2-2021-06

若要使用 CLI 修改 TLS 接聽程式以使用 TLS 1.3 原則

搭配任何 TLS 1.3 安全性原則使用修改接聽程式命令。

此範例使用安ELBSecurityPolicy-TLS13-1-2-2021-06全性原則。

aws elbv2 modify-listener \
--listener-arn arn:aws:elasticloadbalancing:us-east-1:123456789012:listener/app/my-load-balancer/abcdef01234567890/1234567890abcdef0 \
--ssl-policy ELBSecurityPolicy-TLS13-1-2-2021-06

檢視監聽器使用 CLI 所使用的安全原則

使用描述偵聽程式命令搭配您arn的監聽器。

aws elbv2 describe-listener \
--listener-arn arn:aws:elasticloadbalancing:us-east-1:123456789012:listener/app/my-load-balancer/abcdef01234567890/1234567890abcdef0

若要使用 CLI 檢視 TLS 1.3 安全性原則的組態

搭配任何 TLS 1.3 安全性原則使用此describe-ssl-policies命令。

此範例使用安ELBSecurityPolicy-TLS13-1-2-2021-06全性原則。

aws elbv2 describe-ssl-policies \
--names ELBSecurityPolicy-TLS13-1-2-2021-06

FIPS

重要

原則ELBSecurityPolicy-TLS13-1-1-FIPS-2023-04和ELBSecurityPolicy-TLS13-1-0-FIPS-2023-04僅針對舊版相容性而提供。雖然他們使用使用 FIPS140 模組的 FIPS 密碼編譯，但它們可能不符合 TLS 組態的最新 NIST 指南。

下表說明可用 FIPS 安全性原則所支援的 TLS 通訊協定和密碼。

注意：前ELBSecurityPolicy-置碼已從安全性原則列的原則名稱中移除。

範例：安全性原ELBSecurityPolicy-TLS13-1-2-FIPS-2023-04則會顯示為TLS13-1-2-FIPS-2023-04。

安全政策
TLS 通訊協定
Protocol-TLSv1								✓
Protocol-TLSv1.1							✓	✓
Protocol-TLSv1.2		✓	✓	✓	✓	✓	✓	✓
Protocol-TLSv1.3	✓	✓	✓	✓	✓	✓	✓	✓
TLS 加密
TLS_AES_128_GCM_SHA256	✓	✓	✓	✓	✓	✓	✓	✓
TLS_AES_256_GCM_SHA384	✓	✓	✓	✓	✓	✓	✓	✓
ECDHE-ECDSA-AES128-GCM-SHA256		✓	✓	✓	✓	✓	✓	✓
ECDHE-RSA-AES128-GCM-SHA256		✓	✓	✓	✓	✓	✓	✓
ECDHE-ECDSA-AES128-SHA256			✓	✓	✓	✓	✓	✓
ECDHE-RSA-AES128-SHA256			✓	✓	✓	✓	✓	✓
ECDHE-ECDSA-AES128-SHA				✓		✓	✓	✓
ECDHE-RSA-AES128-SHA				✓		✓	✓	✓
ECDHE-ECDSA-AES256-GCM-SHA384		✓	✓	✓	✓	✓	✓	✓
ECDHE-RSA-AES256-GCM-SHA384		✓	✓	✓	✓	✓	✓	✓
ECDHE-ECDSA-AES256-SHA384			✓	✓	✓	✓	✓	✓
ECDHE-RSA-AES256-SHA384			✓	✓	✓	✓	✓	✓
ECDHE-RSA-AES256-SHA				✓		✓	✓	✓
ECDHE-ECDSA-AES256-SHA				✓		✓	✓	✓
AES128-GCM-SHA256					✓	✓	✓	✓
AES128-SHA256					✓	✓	✓	✓
AES128-SHA						✓	✓	✓
AES256-GCM-SHA384					✓	✓	✓	✓
AES256-SHA256					✓	✓	✓	✓
AES256-SHA						✓	✓	✓

若要使用 CLI 建立使用 FIPS 原則的 TLS 接聽程式

使用建立接聽程式命令搭配任何 FI PS 安全性原則。

此範例使用安ELBSecurityPolicy-TLS13-1-2-FIPS-2023-04全性原則。

aws elbv2 create-listener --name my-listener \
--protocol TLS --port 443 \ 
--ssl-policy ELBSecurityPolicy-TLS13-1-2-FIPS-2023-04

若要使用 CLI 修改 TLS 接聽程式以使用 FIPS 原則

將修改偵聽程式命令與任何 FI PS 安全性原則搭配使用。

此範例使用安ELBSecurityPolicy-TLS13-1-2-FIPS-2023-04全性原則。

aws elbv2 modify-listener \
--listener-arn arn:aws:elasticloadbalancing:us-east-1:123456789012:listener/app/my-load-balancer/abcdef01234567890/1234567890abcdef0 \
--ssl-policy ELBSecurityPolicy-TLS13-1-2-FIPS-2023-04

檢視監聽器使用 CLI 所使用的安全原則

使用描述偵聽程式命令搭配您arn的監聽器。

aws elbv2 describe-listener \
--listener-arn arn:aws:elasticloadbalancing:us-east-1:123456789012:listener/app/my-load-balancer/abcdef01234567890/1234567890abcdef0

使用 CLI 檢視 FIPS 安全性原則的組態

搭配任何 FIPS 安全性原則使用此describe-ssl-policies命令。

此範例使用安ELBSecurityPolicy-TLS13-1-2-FIPS-2023-04全性原則。

aws elbv2 describe-ssl-policies \
--names ELBSecurityPolicy-TLS13-1-2-FIPS-2023-04

FS

下表說明可用 FS 支援的安全性原則所支援的 TLS 通訊協定和密碼。

注意：前ELBSecurityPolicy-置碼已從安全性原則列的原則名稱中移除。

範例：安全性原ELBSecurityPolicy-FS-2018-06則會顯示為FS-2018-06。

安全政策
TLS 通訊協定
Protocol-TLSv1	✓					✓
Protocol-TLSv1.1	✓				✓	✓
Protocol-TLSv1.2	✓	✓	✓	✓	✓	✓
TLS 加密
ECDHE-ECDSA-AES128-GCM-SHA256	✓	✓	✓	✓	✓	✓
ECDHE-RSA-AES128-GCM-SHA256	✓	✓	✓	✓	✓	✓
ECDHE-ECDSA-AES128-SHA256	✓		✓	✓	✓	✓
ECDHE-RSA-AES128-SHA256	✓		✓	✓	✓	✓
ECDHE-ECDSA-AES128-SHA	✓			✓	✓	✓
ECDHE-RSA-AES128-SHA	✓			✓	✓	✓
ECDHE-ECDSA-AES256-GCM-SHA384	✓	✓	✓	✓	✓	✓
ECDHE-RSA-AES256-GCM-SHA384	✓	✓	✓	✓	✓	✓
ECDHE-ECDSA-AES256-SHA384	✓		✓	✓	✓	✓
ECDHE-RSA-AES256-SHA384	✓		✓	✓	✓	✓
ECDHE-RSA-AES256-SHA	✓			✓	✓	✓
ECDHE-ECDSA-AES256-SHA	✓			✓	✓	✓
AES128-GCM-SHA256	✓
AES128-SHA256	✓
AES128-SHA	✓
AES256-GCM-SHA384	✓
AES256-SHA256	✓
AES256-SHA	✓

若要使用 CLI 建立使用 FS 支援原則的 TLS 接聽程式

使用建立偵聽程式命令搭配任何 FS 支援的安全性原則。

此範例使用安ELBSecurityPolicy-FS-2018-06全性原則。

aws elbv2 create-listener --name my-listener \
--protocol TLS --port 443 \ 
--ssl-policy ELBSecurityPolicy-FS-2018-06

若要使用 CLI 修改 TLS 接聽程式以使用 FS 支援的原則

使用修改偵聽程式命令搭配任何 FS 支援的安全性原則。

此範例使用安ELBSecurityPolicy-FS-2018-06全性原則。

aws elbv2 modify-listener \
--listener-arn arn:aws:elasticloadbalancing:us-east-1:123456789012:listener/app/my-load-balancer/abcdef01234567890/1234567890abcdef0 \
--ssl-policy ELBSecurityPolicy-FS-2018-06

檢視監聽器使用 CLI 所使用的安全原則

使用描述偵聽程式命令搭配您arn的監聽器。

aws elbv2 describe-listener \
--listener-arn arn:aws:elasticloadbalancing:us-east-1:123456789012:listener/app/my-load-balancer/abcdef01234567890/1234567890abcdef0

若要使用 CLI 檢視 FS 支援的安全性原則的組態

使用此命describe-ssl-policies令搭配任何 FS 支援的安全性原則。

此範例使用安ELBSecurityPolicy-FS-2018-06全性原則。

aws elbv2 describe-ssl-policies \
--names ELBSecurityPolicy-FS-2018-06

TLS 1.0 - 1.2

下表說明可用 TLS 1.0-1.2 安全性原則所支援的 TLS 通訊協定和密碼。

注意：前ELBSecurityPolicy-置碼已從安全性原則列的原則名稱中移除。

範例：安全性原ELBSecurityPolicy-TLS-1-2-Ext-2018-06則會顯示為TLS-1-2-Ext-2018-06。

安全政策
TLS 通訊協定
Protocol-TLSv1	✓				✓
Protocol-TLSv1.1	✓			✓	✓
Protocol-TLSv1.2	✓	✓	✓	✓	✓
TLS 加密
ECDHE-ECDSA-AES128-GCM-SHA256	✓	✓	✓	✓	✓
ECDHE-RSA-AES128-GCM-SHA256	✓	✓	✓	✓	✓
ECDHE-ECDSA-AES128-SHA256	✓	✓	✓	✓	✓
ECDHE-RSA-AES128-SHA256	✓	✓	✓	✓	✓
ECDHE-ECDSA-AES128-SHA	✓	✓		✓	✓
ECDHE-RSA-AES128-SHA	✓	✓		✓	✓
ECDHE-ECDSA-AES256-GCM-SHA384	✓	✓	✓	✓	✓
ECDHE-RSA-AES256-GCM-SHA384	✓	✓	✓	✓	✓
ECDHE-ECDSA-AES256-SHA384	✓	✓	✓	✓	✓
ECDHE-RSA-AES256-SHA384	✓	✓	✓	✓	✓
ECDHE-RSA-AES256-SHA	✓	✓		✓	✓
ECDHE-ECDSA-AES256-SHA	✓	✓		✓	✓
AES128-GCM-SHA256	✓	✓	✓	✓	✓
AES128-SHA256	✓	✓	✓	✓	✓
AES128-SHA	✓	✓		✓	✓
AES256-GCM-SHA384	✓	✓	✓	✓	✓
AES256-SHA256	✓	✓	✓	✓	✓
AES256-SHA	✓	✓		✓	✓
DES-CBC3-SHA					✓

* 請勿使用此政策，除非您必須支援需要 DES-CBC3-SHA 加密 (一種弱式加密) 的傳統用戶端。

若要使用 CLI 建立使用 TLS 1.0-1.2 原則的 TLS 接聽程式

使用建立接聽程式命令搭配任何 TLS 1.0-1.2 支援的安全性原則。

此範例使用安ELBSecurityPolicy-2016-08全性原則。

aws elbv2 create-listener --name my-listener \
--protocol TLS --port 443 \ 
--ssl-policy ELBSecurityPolicy-2016-08

若要使用 CLI 修改 TLS 接聽程式以使用 TLS 1.0-1.2 原則

將修改接聽程式命令與任何 TLS 1.0-1.2 支援的安全性原則搭配使用。

此範例使用安ELBSecurityPolicy-2016-08全性原則。

aws elbv2 modify-listener \
--listener-arn arn:aws:elasticloadbalancing:us-east-1:123456789012:listener/app/my-load-balancer/abcdef01234567890/1234567890abcdef0 \
--ssl-policy ELBSecurityPolicy-2016-08

檢視監聽器使用 CLI 所使用的安全原則

使用描述偵聽程式命令搭配您arn的監聽器。

aws elbv2 describe-listener \
--listener-arn arn:aws:elasticloadbalancing:us-east-1:123456789012:listener/app/my-load-balancer/abcdef01234567890/1234567890abcdef0

使用 CLI 檢視 TLS 1.0-1.2 安全性原則的組態

搭配任何 TLS 1.0-1.2 支援的安全性原則使用此describe-ssl-policies命令。

此範例使用安ELBSecurityPolicy-2016-08全性原則。

aws elbv2 describe-ssl-policies \
--names ELBSecurityPolicy-2016-08

ALPN 政策

應用程式層通訊協定交涉 (ALPN) 是在初始 TLS 信號交換您好訊息上傳送的 TLS 延伸。ALPN 使應用程式層能夠協商哪些通訊協定的使用透過安全的連接 (如 HTTP/1 和 HTTP/2) 來進行。

當用戶端起始 ALPN 連線時，負載平衡器會將用戶端 ALPN 喜好設定清單與其 ALPN 政策進行比較。如果用戶端支援來自 ALPN 政策的通訊協定，則負載平衡器會根據 ALPN 政策的喜好設定清單來建立連線。否則，負載平衡器不會使用 ALPN。

支援的 ALPN 政策

以下是支援的 ALPN 政策：

HTTP1Only

只交涉 HTTP/1.*。ALPN 喜好設定清單為 http/1.1、http/1.0。

HTTP2Only

只協商 HTTP/2。ALPN 喜好設定清單為 h2。

HTTP2Optional

偏好 HTTP/1.*，而不是 HTTP/2 (這對於 HTTP/2 測試可能有用)。ALPN 喜好設定清單包括：http/1.1、http/1.0、h2。

HTTP2Preferred

偏好 HTTP/2，而不是 HTTP/1.*。ALPN 喜好設定清單是 h2、http/1.1、http/1.0。

None

不要交涉 ALPN。此為預設值。

啟用 ALPN 連線

您可以在建立或修改 TLS 接聽程式時啟用 ALPN 連線。如需詳細資訊，請參閱 新增接聽程式 及 更新 ALPN 政策。