本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# Classic Load Balancer 的 SSL/TLS 憑證
<a name="ssl-server-cert"></a>

若您對前端接聽程式使用 HTTPS (SSL 或 TLS)，您必須在負載平衡器上部署 SSL/TLS 憑證。負載平衡器使用此憑證終止連接，然後解密用戶端的請求，再將它們傳送到執行個體。

SSL 和 TLS 通訊協定使用 X.509 憑證 (SSL/TLS 伺服器憑證) 以驗證用戶端和後端應用程式。X.509 憑證是憑證授權機構 (CA) 發出的數位身分證，其中包含識別資訊、有效期間、公有金鑰、序號和發行機構的數位簽章。

您可以使用 AWS Certificate Manager 或支援 SSL 和 TLS 通訊協定的工具來建立憑證，例如 OpenSSL。當您為負載平衡器建立或更新 HTTPS 接聽程式時，您將會指定此憑證。建立憑證以搭配您的負載平衡器使用時，您必須指定網域名稱。

建立憑證以搭配您的負載平衡器使用時，您必須指定網域名稱。憑證上的網域名稱必須與自訂網域名稱記錄相符。如果它們不相符，流量將不會得到加密，因為無法驗證 TLS 連線。

您必須為憑證指定完整網域名稱 (FQDN)，例如 `www.example.com`；或者指定 apex 網域名稱 (FQDN)，例如 `example.com`。您也可以使用星號 (\*) 做為萬用字元，以保護相同網域中的多個網站名稱。請求萬用字元憑證時，星號 (\*) 必須在網域名稱的最左方，而且僅能保護一個子網域層級。例如，`*.example.com` 保護 `corp.example.com` 和 `images.example.com`，但它無法保護 `test.login.example.com`。另請注意，`*.example.com` 只可以保護 `example.com` 的子網域，無法保護 bare 或 apex 網域 (`example.com`)。萬用字元名稱會顯示於 ACM 憑證的**主體**欄位和憑證的**主體別名**延伸。如需公有憑證的詳細資訊，請參閱 *AWS Certificate Manager 使用者指南*中的[請求公有憑證](https://docs.aws.amazon.com/acm/latest/userguide/gs-acm-request-public.html#request-public-console)。

## 使用 建立或匯入 SSL/TLS 憑證 AWS Certificate Manager
<a name="create-certificate-acm"></a>

建議您使用 AWS Certificate Manager (ACM) 為您的負載平衡器建立或匯入憑證。ACM 會與 Elastic Load Balancing 整合，以便您在負載平衡器上部署憑證。若要在負載平衡器上部署憑證，此憑證必須位於和負載平衡器同一個區域。如需詳細資訊，請參閱《*AWS Certificate Manager 使用者指南*》中的[請求公有憑證](https://docs.aws.amazon.com/acm/latest/userguide/gs-acm-request-public.html)或[匯入憑證](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate.html)。

若要允許使用者使用 AWS 管理主控台在負載平衡器上部署憑證，您必須允許存取 ACM `ListCertificates` API 動作。如需詳細資訊，請參閱 *AWS Certificate Manager 使用者指南*中的[列出憑證](https://docs.aws.amazon.com/acm/latest/userguide/security_iam_id-based-policy-examples.html#policy-list-certificates)。

**重要**  
您不能透過與 ACM 的整合，在您的負載平衡器上安裝具有 4096 位元 RSA 金鑰或 EC 金鑰的憑證。您必須將具有 4096 位元 RSA 金鑰或 EC 金鑰的憑證上傳至 IAM，才能使用它們搭配您的負載平衡器。

## 使用 IAM 匯入 SSL/TLS 憑證
<a name="import-certificate-iam"></a>

如果您未使用 ACM，則可以使用 SSL/TLS 工具 例如 OpenSSL) 建立憑證簽署請求 (CSR)、取得由 CA 簽署的憑證以產生 CSR，並上傳憑證至 IAM。如需詳細資訊，請參閱 *IAM 使用者指南*中的[使用伺服器憑證](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_server-certs.html)。