本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
為 Application Load Balancer 更新 HTTPS 接聽程式
建立 HTTPS 接聽程式之後,您可以更換預設憑證、更新憑證清單或更換安全政策。
更換預設憑證
您可以使用以下程序,更換接聽程式的預設憑證。如需詳細資訊,請參閱預設憑證。
- Console
-
若要取代預設憑證
前往 https://console.aws.amazon.com/ec2/ 開啟 Amazon EC2 主控台。
-
在導覽窗格上選擇 Load Balancers (負載平衡器)。
-
選取負載平衡器。
-
在接聽程式和規則索引標籤上,選擇通訊協定:連接埠資料欄中的文字,以開啟接聽程式的詳細資訊頁面。
-
在憑證索引標籤上,選擇變更預設值。
-
在 ACM 和 IAM 憑證資料表中,選取新的預設憑證。
-
(選用) 根據預設,我們會選取將先前的預設憑證新增至接聽程式憑證清單。我們建議您保持選取此選項,除非您目前沒有 SNI 的接聽程式憑證,並依賴 TLS 工作階段恢復。
-
選擇儲存為預設。
- AWS CLI
-
若要取代預設憑證
使用 modify-listener 命令。
aws elbv2 modify-listener \
--listener-arn listener-arn \
--certificates CertificateArn=new-default-certificate-arn
- CloudFormation
-
若要取代預設憑證
更新 AWS::ElasticLoadBalancingV2::Listener。
Resources:
myHTTPSListener:
Type: 'AWS::ElasticLoadBalancingV2::Listener'
Properties:
LoadBalancerArn: !Ref myLoadBalancer
Protocol: HTTPS
Port: 443
DefaultActions:
- Type: "forward"
TargetGroupArn: !Ref myTargetGroup
SslPolicy: ELBSecurityPolicy-TLS13-1-2-2021-06
Certificates:
- CertificateArn: new-default-certificate-arn
將憑證新增至憑證清單
您可以使用以下程序,將憑證新增至接聽程式的憑證清單。如果您使用 建立接聽程式 AWS Management Console,我們會將預設憑證新增至憑證清單。否則,憑證清單為空白。將預設憑證新增至憑證清單可確保此憑證會與 SNI 通訊協定搭配使用,即使它被取代為預設憑證。如需詳細資訊,請參閱Application Load Balancer 的 SSL 憑證。
- Console
-
將憑證新增至憑證清單
前往 https://console.aws.amazon.com/ec2/ 開啟 Amazon EC2 主控台。
-
在導覽窗格上選擇 Load Balancers (負載平衡器)。
-
選取負載平衡器。
-
在接聽程式和規則索引標籤上,選擇通訊協定:連接埠資料欄中的文字,以開啟接聽程式的詳細資訊頁面。
-
選擇 Certificates (憑證) 索引標籤。
-
若要將預設憑證新增至清單,請選擇新增預設憑證至清單。
-
若要將非預設憑證新增至清單,請執行下列動作:
-
選擇新增憑證。
-
若要新增已由 ACM 或 IAM 管理的憑證,請選取憑證的核取方塊,然後選擇 Include as pending below (將以下列入待辦事項)。
-
若要新增不是由 ACM 或 IAM 管理的憑證,請選擇匯入憑證,填寫表單,然後選擇匯入。
-
選擇新增待定憑證。
- AWS CLI
-
將憑證新增至憑證清單
使用 add-listener-certificates 命令。
aws elbv2 add-listener-certificates \
--listener-arn listener-arn \
--certificates \
CertificateArn=certificate-arn-1 \
CertificateArn=certificate-arn-2 \
CertificateArn=certificate-arn-3
- CloudFormation
-
將憑證新增至憑證清單
定義 AWS::ElasticLoadBalancingV2::ListenerCertificate 類型的資源。
Resources:
myCertificateList:
Type: 'AWS::ElasticLoadBalancingV2::ListenerCertificate'
Properties:
ListenerArn: !Ref myTLSListener
Certificates:
- CertificateArn: "certificate-arn-1"
- CertificateArn: "certificate-arn-2"
- CertificateArn: "certificate-arn-3"
從憑證清單中移除憑證
您可以使用以下程序,從 HTTPS 接聽程式的憑證清單中移除憑證。移除憑證之後,接聽程式就無法再使用該憑證建立連線。為了確保用戶端不受影響,請在清單中新增憑證,並確認連線正在運作中,再從清單中移除憑證。
若要移除 TLS 接聽程式的預設憑證,請參閱更換預設憑證。
- Console
-
- AWS CLI
-
從憑證清單中移除憑證
使用 remove-listener-certificates 命令。
aws elbv2 remove-listener-certificates \
--listener-arn listener-arn \
--certificates CertificateArn=certificate-arn
更新安全政策
建立 HTTPS 接聽程式時,您可以選取符合您的需求的安全政策。新增安全政策後,您可以更新 HTTPS 接聽程式,以使用新的安全政策。Application Load Balancers 不支援自訂安全政策。如需詳細資訊,請參閱Application Load Balancer 的安全政策。
如果負載平衡器正在處理大量流量,則更新安全政策可能會導致中斷。若要降低負載平衡器處理大量流量時中斷的可能性,請建立額外的負載平衡器以協助處理流量或請求 LCU 保留。
在 Application Load Balancer 上使用 FIPS 政策
連接至 Application Load Balancer 的所有安全接聽程式都必須使用 FIPS 安全政策或非 FIPS 安全政策;這些政策無法混合。如果現有的 Application Load Balancer 有兩個以上的接聽程式使用非 FIPS 政策,而您希望接聽程式改用 FIPS 安全政策,請移除所有接聽程式,直到只有一個接聽程式為止。將接聽程式的安全政策變更為 FIPS,然後使用 FIPS 安全政策建立其他接聽程式。或者,您可以使用僅使用 FIPS 安全政策的新接聽程式建立新的 Application Load Balancer。
- Console
-
- AWS CLI
-
更新安全政策
使用 modify-listener 命令。
aws elbv2 modify-listener \
--listener-arn listener-arn \
--ssl-policy ELBSecurityPolicy-TLS13-1-2-Res-2021-06
- CloudFormation
-
更新安全政策
使用新的安全政策更新 AWS::ElasticLoadBalancingV2::Listener 資源。
Resources:
myHTTPSListener:
Type: 'AWS::ElasticLoadBalancingV2::Listener'
Properties:
LoadBalancerArn: !Ref myLoadBalancer
Protocol: HTTPS
Port: 443
DefaultActions:
- Type: "forward"
TargetGroupArn: !Ref myTargetGroup
SslPolicy: ELBSecurityPolicy-TLS13-1-2-2021-06
Certificates:
- CertificateArn: certificate-arn
HTTP 標頭修改可讓您重新命名特定負載平衡器產生的標頭、插入特定回應標頭,以及停用伺服器回應標頭。Application Load Balancer 支援對請求和回應標頭進行標頭修改。
如需詳細資訊,請參閱為您的 Application Load Balancer 啟用 HTTP 標頭修改。
