

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 為 Application Load Balancer 更新 HTTPS 接聽程式
<a name="listener-update-certificates"></a>

建立 HTTPS 接聽程式之後，您可以更換預設憑證、更新憑證清單或更換安全政策。

**Topics**
+ [更換預設憑證](#replace-default-certificate)
+ [將憑證新增至憑證清單](#add-certificates)
+ [從憑證清單中移除憑證](#remove-certificates)
+ [更新安全政策](#update-security-policy)
+ [HTTP 標頭修改](#update-header-modification)

## 更換預設憑證
<a name="replace-default-certificate"></a>

您可以使用以下程序，更換接聽程式的預設憑證。如需詳細資訊，請參閱[預設憑證](https-listener-certificates.md#default-certificate)。

------
#### [ Console ]

**若要取代預設憑證**

1. 前往 [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) 開啟 Amazon EC2 主控台。

1. 在導覽窗格上選擇 **Load Balancers (負載平衡器)**。

1. 選取負載平衡器。

1. 在**接聽程式和規則**索引標籤上，選擇**通訊協定：連接埠**資料欄中的文字，以開啟接聽程式的詳細資訊頁面。

1. 在**憑證**索引標籤上，選擇**變更預設值**。

1. 在 **ACM 和 IAM 憑證**資料表中，選取新的預設憑證。

1. （選用） 根據預設，我們會選取**將先前的預設憑證新增至接聽程式憑證清單**。建議您保持選取此選項，除非您目前沒有 SNI 的接聽程式憑證，並依賴 TLS 工作階段恢復。

1. 選擇**儲存為預設**。

------
#### [ AWS CLI ]

**若要取代預設憑證**  
使用 [modify-listener](https://docs.aws.amazon.com/cli/latest/reference/elbv2/modify-listener.html) 命令。

```
aws elbv2 modify-listener \
    --listener-arn listener-arn \
    --certificates CertificateArn=new-default-certificate-arn
```

------
#### [ CloudFormation ]

**若要取代預設憑證**  
更新 [AWS::ElasticLoadBalancingV2::Listener](https://docs.aws.amazon.com/AWSCloudFormation/latest/TemplateReference/aws-resource-elasticloadbalancingv2-listener.html)。

```
Resources:
  myHTTPSListener:
    Type: 'AWS::ElasticLoadBalancingV2::Listener'
    Properties: 
      LoadBalancerArn: !Ref myLoadBalancer
      Protocol: HTTPS
      Port: 443
      DefaultActions:
        - Type: "forward"
          TargetGroupArn: !Ref myTargetGroup
      SslPolicy: ELBSecurityPolicy-TLS13-1-2-2021-06
      Certificates: 
        - CertificateArn: new-default-certificate-arn
```

------

## 將憑證新增至憑證清單
<a name="add-certificates"></a>

您可以使用以下程序，將憑證新增至接聽程式的憑證清單。如果您使用 建立接聽程式 AWS 管理主控台，我們會將預設憑證新增至憑證清單。否則，憑證清單為空白。將預設憑證新增至憑證清單可確保此憑證與 SNI 通訊協定搭配使用，即使它被取代為預設憑證。如需詳細資訊，請參閱[Application Load Balancer 的 SSL 憑證](https-listener-certificates.md)。

------
#### [ Console ]

**將憑證新增至憑證清單**

1. 前往 [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) 開啟 Amazon EC2 主控台。

1. 在導覽窗格上選擇 **Load Balancers (負載平衡器)**。

1. 選取負載平衡器。

1. 在**接聽程式和規則**索引標籤上，選擇**通訊協定：連接埠**資料欄中的文字，以開啟接聽程式的詳細資訊頁面。

1. 選擇 **Certificates (憑證)** 索引標籤。

1. 若要將預設憑證新增至清單，請選擇**新增預設憑證至清單**。

1. 若要將非預設憑證新增至清單，請執行下列動作：

   1. 選擇**新增憑證**。

   1. 若要新增已由 ACM 或 IAM 管理的憑證，請選取憑證的核取方塊，然後選擇 **Include as pending below (將以下列入待辦事項)**。

   1. 若要新增不是由 ACM 或 IAM 管理的憑證，請選擇**匯入憑證**，填寫表單，然後選擇**匯入**。

   1. 選擇**新增待定憑證**。

------
#### [ AWS CLI ]

**將憑證新增至憑證清單**  
使用 [add-listener-certificates](https://docs.aws.amazon.com/cli/latest/reference/elbv2/add-listener-certificates.html) 命令。

```
aws elbv2 add-listener-certificates \
    --listener-arn listener-arn \
    --certificates \
        CertificateArn=certificate-arn-1 \
        CertificateArn=certificate-arn-2 \
        CertificateArn=certificate-arn-3
```

------
#### [ CloudFormation ]

**將憑證新增至憑證清單**  
定義 [AWS::ElasticLoadBalancingV2::ListenerCertificate](https://docs.aws.amazon.com/AWSCloudFormation/latest/TemplateReference/aws-resource-elasticloadbalancingv2-listenercertificate.html) 類型的資源。

```
Resources: 
  myCertificateList:
    Type: 'AWS::ElasticLoadBalancingV2::ListenerCertificate'
    Properties:
      ListenerArn: !Ref myTLSListener
      Certificates:
        - CertificateArn: "certificate-arn-1"
        - CertificateArn: "certificate-arn-2"
        - CertificateArn: "certificate-arn-3"
```

------

## 從憑證清單中移除憑證
<a name="remove-certificates"></a>

您可以使用以下程序，從 HTTPS 接聽程式的憑證清單中移除憑證。移除憑證之後，接聽程式就無法再使用該憑證建立連線。為了確保用戶端不受影響，請在清單中新增憑證，並確認連線正在運作中，再從清單中移除憑證。

若要移除 TLS 接聽程式的預設憑證，請參閱[更換預設憑證](#replace-default-certificate)。

------
#### [ Console ]

**從憑證清單中移除憑證**

1. 前往 [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) 開啟 Amazon EC2 主控台。

1. 在導覽窗格上選擇 **Load Balancers (負載平衡器)**。

1. 選取負載平衡器。

1. 在**接聽程式和規則**索引標籤上，選取**通訊協定：連接埠**資料欄中的文字，以開啟接聽程式的詳細資訊頁面。

1. 在**憑證**索引標籤上，選取憑證的核取方塊，然後選擇**移除**。

1. 出現確認提示時，請輸入 **confirm**，然後選擇**移除**。

------
#### [ AWS CLI ]

**從憑證清單中移除憑證**  
使用 [remove-listener-certificates](https://docs.aws.amazon.com/cli/latest/reference/elbv2/remove-listener-certificates.html) 命令。

```
aws elbv2 remove-listener-certificates \
    --listener-arn listener-arn \
    --certificates CertificateArn=certificate-arn
```

------

## 更新安全政策
<a name="update-security-policy"></a>

建立 HTTPS 接聽程式時，您可以選取符合您的需求的安全政策。新增安全政策後，您可以更新 HTTPS 接聽程式，以使用新的安全政策。Application Load Balancers 不支援自訂安全政策。如需詳細資訊，請參閱[Application Load Balancer 的安全政策](describe-ssl-policies.md)。

如果負載平衡器正在處理大量流量，則更新安全政策可能會導致中斷。若要降低負載平衡器處理大量流量時中斷的可能性，請建立額外的負載平衡器以協助處理流量或請求 LCU 保留。

**相容性**
+ 連接到相同負載平衡器的所有安全接聽程式都必須使用相容的安全政策。若要將負載平衡器的所有安全接聽程式遷移至與目前正在使用的安全政策不相容的安全政策，請移除其中一個安全接聽程式以外的所有安全接聽程式、變更安全接聽程式的安全政策，然後建立其他安全接聽程式。
  + FIPS 後量子 TLS 政策和 FIPS 政策 - **相容**
  + 後量子 TLS 政策和 FIPS 或 FIPS 後量子 TLS 政策 - **相容**
  + TLS 政策 （非 FIPS、non-post-quantum) 和 FIPS 或 FIPS 後量子 TLS 政策 - **不相容**
  + TLS 政策 （非 FIPS、non-post-quantum和後量子 TLS 政策 - **不相容**

------
#### [ Console ]

**更新安全政策**

1. 前往 [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) 開啟 Amazon EC2 主控台。

1. 在導覽窗格上選擇 **Load Balancers (負載平衡器)**。

1. 選取負載平衡器。

1. 在**接聽程式和規則**索引標籤上，選取**通訊協定：連接埠**資料欄中的文字，以開啟接聽程式的詳細資訊頁面。

1. 在**安全**索引標籤上，選擇**編輯安全接聽程式設定**。

1. 在**安全接聽程式設定**區段**的安全政策**下，選擇新的安全政策。

1. 選擇**儲存變更**。

------
#### [ AWS CLI ]

**更新安全政策**  
使用 [modify-listener](https://docs.aws.amazon.com/cli/latest/reference/elbv2/modify-listener.html) 命令。

```
aws elbv2 modify-listener \
    --listener-arn listener-arn \
    --ssl-policy ELBSecurityPolicy-TLS13-1-2-Res-2021-06
```

------
#### [ CloudFormation ]

**更新安全政策**  
使用新的安全政策更新 [AWS::ElasticLoadBalancingV2::Listener](https://docs.aws.amazon.com/AWSCloudFormation/latest/TemplateReference/aws-resource-elasticloadbalancingv2-listener.html) 資源。

```
Resources:
  myHTTPSListener:
    Type: 'AWS::ElasticLoadBalancingV2::Listener'
    Properties: 
      LoadBalancerArn: !Ref myLoadBalancer
      Protocol: HTTPS
      Port: 443
      DefaultActions:
        - Type: "forward"
          TargetGroupArn: !Ref myTargetGroup
      SslPolicy: ELBSecurityPolicy-TLS13-1-2-2021-06
      Certificates: 
        - CertificateArn: certificate-arn
```

------

## HTTP 標頭修改
<a name="update-header-modification"></a>

HTTP 標頭修改可讓您重新命名特定負載平衡器產生的標頭、插入特定回應標頭，以及停用伺服器回應標頭。Application Load Balancer 支援對請求和回應標頭進行標頭修改。

如需詳細資訊，請參閱[為您的 Application Load Balancer 啟用 HTTP 標頭修改](enable-header-modification.md)。