更新 Network Load Balancer 的 TLS 接聽程式 - Elastic Load Balancing
更換預設憑證將憑證新增至憑證清單從憑證清單中移除憑證更新安全政策更新 ALPN 政策

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

更新 Network Load Balancer 的 TLS 接聽程式

建立 TLS 接聽程式之後,您可以取代預設憑證、從憑證清單新增或移除憑證、更新安全性政策,或更新 ALPN 政策。

更換預設憑證

您可以視需要取代 TLS 接聽程式的預設憑證。如需詳細資訊,請參閱預設憑證

Console
若要取代預設憑證

  1. 前往 https://console.aws.amazon.com/ec2/ 開啟 Amazon EC2 主控台。

  2. 在導覽窗格上選擇 Load Balancers (負載平衡器)

  3. 選取負載平衡器。

  4. 接聽程式索引標籤上,選取通訊協定:連接埠資料欄中的文字,即可開啟接聽程式的詳細資訊頁面。

  5. 憑證索引標籤上,選擇變更預設值

  6. ACM 和 IAM 憑證資料表中,選取新的預設憑證。

  7. (選用) 根據預設,我們會選取將先前的預設憑證新增至接聽程式憑證清單。我們建議您保持選取此選項,除非您目前沒有 SNI 的接聽程式憑證,並依賴 TLS 工作階段恢復。

  8. 選擇儲存為預設

AWS CLI
若要取代預設憑證

使用 modify-listener 命令。

aws elbv2 modify-listener \
    --listener-arn listener-arn \
    --certificates CertificateArn=new-default-certificate-arn
CloudFormation
若要取代預設憑證

使用新的預設憑證更新 AWS::ElasticLoadBalancingV2::Listener 資源。

Resources:
  myTLSListener:
    Type: 'AWS::ElasticLoadBalancingV2::Listener'
    Properties:
      LoadBalancerArn: !Ref myLoadBalancer
      Protocol: TLS
      Port: 443
      DefaultActions:
        - Type: forward
          TargetGroupArn: !Ref myTargetGroup
      SslPolicy: "ELBSecurityPolicy-TLS13-1-2-2021-06"
      Certificates:
        - CertificateArn: "new-default-certificate-arn"

將憑證新增至憑證清單

您可以使用以下程序,將憑證新增至接聽程式的憑證清單。當您最初建立 TLS 接聽程式時,憑證清單是空的。您可以將預設憑證新增至憑證清單,以確保此憑證會與 SNI 通訊協定搭配使用,即使它被取代為預設憑證。如需詳細資訊,請參閱憑證清單

Console
將憑證新增至憑證清單

  1. 前往 https://console.aws.amazon.com/ec2/ 開啟 Amazon EC2 主控台。

  2. 在導覽窗格中,選擇 Load Balancers (負載平衡器)

  3. 選擇負載平衡器的名稱來開啟其詳細資訊頁面。

  4. 接聽程式索引標籤上,選取通訊協定:連接埠資料欄中的文字,即可開啟接聽程式的詳細資訊頁面。

  5. 選擇 Certificates (憑證) 索引標籤。

  6. 若要將預設憑證新增至清單,請選擇新增預設憑證至清單

  7. 若要將非預設憑證新增至清單,請執行下列動作:

    1. 選擇新增憑證

    2. 若要新增已由 ACM 或 IAM 管理的憑證,請選取憑證的核取方塊,然後選擇 Include as pending below (將以下列入待辦事項)

    3. 若要新增不是由 ACM 或 IAM 管理的憑證,請選擇匯入憑證、填寫表單,然後選擇匯入

    4. 選擇新增待定憑證

AWS CLI
將憑證新增至憑證清單

使用 add-listener-certificates 命令。

aws elbv2 add-listener-certificates \
    --listener-arn listener-arn \
    --certificates \
        CertificateArn=certificate-arn-1 \
        CertificateArn=certificate-arn-2 \
        CertificateArn=certificate-arn-3
CloudFormation
將憑證新增至憑證清單

定義 AWS::ElasticLoadBalancingV2::ListenerCertificate 類型的資源。

Resources: 
  myCertificateList:
    Type: 'AWS::ElasticLoadBalancingV2::ListenerCertificate'
    Properties:
      ListenerArn: !Ref myTLSListener
      Certificates:
        - CertificateArn: "certificate-arn-1"
        - CertificateArn: "certificate-arn-2"
        - CertificateArn: "certificate-arn-3"

  myTLSListener:
    Type: AWS::ElasticLoadBalancingV2::Listener
    Properties:
      LoadBalancerArn: !Ref myLoadBalancer
      Protocol: TLSS
      Port: 443
      SslPolicy: "ELBSecurityPolicy-TLS13-1-2-2021-06"
      Certificates:
        - CertificateArn: "certificate-arn-1"
      DefaultActions:
        - Type: forward
          TargetGroupArn: !Ref myTargetGroup

從憑證清單中移除憑證

您可以使用以下程序,從 TLS 接聽程式的憑證清單中移除憑證。移除憑證之後,接聽程式就無法再使用該憑證建立連線。為了確保用戶端不受影響,請在清單中新增憑證,並確認連線正在運作中,再從清單中移除憑證。

若要移除 TLS 接聽程式的預設憑證,請參閱更換預設憑證

Console
從憑證清單中移除憑證

  1. 前往 https://console.aws.amazon.com/ec2/ 開啟 Amazon EC2 主控台。

  2. 在導覽窗格中,選擇 Load Balancers (負載平衡器)

  3. 選擇負載平衡器的名稱來開啟其詳細資訊頁面。

  4. 接聽程式索引標籤上,選取通訊協定:連接埠資料欄中的文字,即可開啟接聽程式的詳細資訊頁面。

  5. 憑證索引標籤上,選取憑證的核取方塊,然後選擇移除

  6. 出現確認提示時,請輸入 confirm,然後選擇移除

AWS CLI
從憑證清單中移除憑證

使用 remove-listener-certificates 命令。

aws elbv2 remove-listener-certificates \
    --listener-arn listener-arn \
    --certificates CertificateArn=certificate-arn

更新安全政策

建立 TLS 接聽程式時,您可以選取符合您的需求的安全政策。新增安全政策時,您可以更新 TLS 接聽程式,以使用新的安全政策。Network Load Balancer 不支援自訂安全政策。如需詳細資訊,請參閱Network Load Balancer 的安全政策

如果負載平衡器正在處理大量流量,則更新安全政策可能會導致中斷。為了降低負載平衡器處理大量流量時中斷的可能性,請建立額外的負載平衡器,以協助處理流量或請求 LCU 保留。

Console
更新安全政策

  1. 前往 https://console.aws.amazon.com/ec2/ 開啟 Amazon EC2 主控台。

  2. 在導覽窗格中,選擇 Load Balancers (負載平衡器)

  3. 選擇負載平衡器的名稱來開啟其詳細資訊頁面。

  4. 接聽程式索引標籤上,選取通訊協定:連接埠資料欄中的文字,即可開啟接聽程式的詳細資訊頁面。

  5. 選擇動作編輯接聽程式

  6. 安全接聽程式設定區段的安全政策下,選擇新的安全政策。

  7. 選擇儲存變更

AWS CLI
更新安全政策

使用 modify-listener 命令。

aws elbv2 modify-listener \
    --listener-arn listener-arn \
    --ssl-policy ELBSecurityPolicy-TLS13-1-2-Res-2021-06
CloudFormation
更新安全政策

使用新的安全政策更新 AWS::ElasticLoadBalancingV2::Listener 資源。

Resources:
  myTLSListener:
    Type: 'AWS::ElasticLoadBalancingV2::Listener'
    Properties:
      LoadBalancerArn: !Ref myLoadBalancer
      Protocol: TLS
      Port: 443
      SslPolicy: "ELBSecurityPolicy-TLS13-1-2-2021-06"
      Certificates:
        - CertificateArn: "default-certificate-arn"
      DefaultActions:
        - Type: forward
          TargetGroupArn: !Ref myTargetGroup

更新 ALPN 政策

您可以視需要更新 TLS 接聽程式的 ALPN 政策。如需詳細資訊,請參閱ALPN 政策

Console
更新 ALPN 政策

  1. 前往 https://console.aws.amazon.com/ec2/ 開啟 Amazon EC2 主控台。

  2. 在導覽窗格中,選擇 Load Balancers (負載平衡器)

  3. 選擇負載平衡器的名稱來開啟其詳細資訊頁面。

  4. 接聽程式索引標籤上,選取通訊協定:連接埠資料欄中的文字,即可開啟接聽程式的詳細資訊頁面。

  5. 選擇動作編輯接聽程式

  6. 安全接聽程式設定區段中,針對 ALPN 政策,選擇政策以啟用 ALPN,或選擇以停用 ALPN。

  7. 選擇儲存變更

AWS CLI
更新 ALPN 政策

使用 modify-listener 命令。

aws elbv2 modify-listener \
    --listener-arn listener-arn \
    --alpn-policy HTTP2Preferred
CloudFormation
更新 ALPN 政策

更新 AWS::ElasticLoadBalancingV2::Listener 資源以包含 ALPN 政策。

Resources:
  myTLSListener:
    Type: 'AWS::ElasticLoadBalancingV2::Listener'
    Properties:
      LoadBalancerArn: !Ref myLoadBalancer
      Protocol: TLS
      Port: 443
      SslPolicy: "ELBSecurityPolicy-TLS13-1-2-Res-2021-06"
      AlpnPolicy:
        - HTTP2Preferred
      Certificates:
        - CertificateArn: "certificate-arn"
      DefaultActions:
        - Type: forward
          TargetGroupArn: !Ref myTargetGroup