本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 经典负载均衡器的 SSL 协商配置
Elastic Load Balancing 使用一个安全套接字层 (SSL) 协商配置(称为*安全策略*)在客户端与负载均衡器之间协商 SSL 连接。安全策略是 SSL 协议、SSL 密码和服务器顺序首选项选项的组合。有关为负载均衡器配置 SSL 连接的更多信息,请参阅[经典负载均衡器的侦听器](elb-listener-config.md)。
**Topics**
+ [安全策略](#security-policy-types)
+ [SSL 协议](#ssl-protocols)
+ [服务器顺序首选项](#server-order-preference)
+ [SSL 密码](#ssl-ciphers)
+ [用于后端连接的密码套件](#elb-backend-cipher-suite)
## 安全策略
安全策略确定在客户端与负载均衡器之间进行 SSL 协商期间受支持的密码和协议。您可以配置自己的经典负载均衡器以使用预定义或自定义的安全策略。
请注意,由 AWS Certificate Manager (ACM) 提供的证书包含 RSA 公钥。因此,如果您使用 ACM 提供的证书,则安全策略必须包括一个使用 RSA 的密码包;否则,TLS 连接会失败。
**预定义安全策略**
最新预定义安全策略的名称包括发布预定义安全策略的年份和月份的版本信息。例如,默认预定义安全策略为 `ELBSecurityPolicy-2016-08`。只要发布新的预定义安全策略,您就能更新配置以使用它。
有关为预定义安全策略启用的协议和密码的信息,请参阅 [经典负载均衡器的预定义 SSL 安全策略](elb-security-policy-table.md)。
**自定义安全策略**
您可使用所需的密码和协议创建自定义协商配置。例如,某些安全合规性标准 (如 PCI 和 SOC) 可能需要一组特定协议和密码,以确保符合安全标准。在这种情况下,可创建自定义安全策略来符合这些标准。
有关创建自定义安全策略的信息,请参阅 [更新经典负载均衡器的 SSL 协商配置](ssl-config-update.md)。
## SSL 协议
*SSL 协议* 在客户端与服务器之间建立安全连接,确保在客户端与负载均衡器之间传递的所有数据都是私密的。
安全套接字层 (SSL) 和传输层安全性 (TLS) 是用于对通过不安全网络(如 Internet)传输的机密数据进行加密的加密协议。TLS 协议是更新版本的 SSL 协议。在 Elastic Load Balancing 文档中,我们将 SSL 和 TLS 协议都称为 SSL 协议。
**推荐的协议**
我们推荐 TLS 1.2,它用于策略 T ELBSecurity LS-1-2-2017-01 预定义的安全策略。您也可以在自定义安全策略中使用 TLS 1.2。默认安全策略同时支持 TLS 1.2 和更早版本的 TLS,因此其安全性不如 ELBSecurity策略-TLS-1-2-2017-01。
**已弃用的协议**
如果之前在自定义策略中启用了 SSL 2.0 协议,我们推荐您将安全策略更新到预定义安全策略之一。
## 服务器顺序首选项
Elastic Load Balancing 支持*服务器顺序首选项*选项,该选项用于协商客户端与负载均衡器之间的连接。在 SSL 连接协商过程中,客户端和负载均衡器会按首选项顺序提供各自支持的密码和协议的列表。默认情况下,会为 SSL 连接选择客户端列表中与任何一个负载均衡器的密码匹配的第一个密码。如果负载均衡器配置为支持服务器顺序首选项,则负载均衡器会在其列表中选择位于客户端的密码列表中的第一个密码。这可确保由负载均衡器确定用于 SSL 连接的密码。如果您未启用服务器顺序首选项,则使用客户端提供的密码顺序来协商客户端与负载均衡器之间的连接。
## SSL 密码
*SSL 密码* 是一种加密算法,它使用加密密钥创建编码的消息。SSL 协议使用多种 SSL 密码对 Internet 上的数据进行加密。
请注意,由 AWS Certificate Manager (ACM) 提供的证书包含 RSA 公钥。因此,如果您使用 ACM 提供的证书,则安全策略必须包括一个使用 RSA 的密码包;否则,TLS 连接会失败。
Elastic Load Balancing 支持以下密码以用于经典负载均衡器。预定义的 SSL 策略使用这些密码的子集。所有这些密码可用于自定义策略中。我们建议您仅使用默认安全策略 (带有星号) 中包括的密码。其他许多密码并不安全,需要自行承担使用风险。
**密码**
+ ECDHE-ECDSA--GCM-\$1 AES128 SHA256
+ ECDHE-RSA--GCM-\$1 AES128 SHA256
+ ECDHE-ECDSA--\$1 AES128 SHA256
+ ECDHE-RSA--\$1 AES128 SHA256
+ ECDHE-ECDSA--SHA \$1 AES128
+ ECDHE-RSA--SHA \$1 AES128
+ DHE-RSA--SHA AES128
+ ECDHE-ECDSA--GCM-\$1 AES256 SHA384
+ ECDHE-RSA--GCM-\$1 AES256 SHA384
+ ECDHE-ECDSA--\$1 AES256 SHA384
+ ECDHE-RSA--\$1 AES256 SHA384
+ ECDHE-RSA--SHA \$1 AES256
+ ECDHE-ECDSA--SHA \$1 AES256
+ AES128-GCM-\$1 SHA256
+ AES128-SHA256 \$1
+ AES128-SHA \$1
+ AES256-GCM-\$1 SHA384
+ AES256-SHA256 \$1
+ AES256-SHA \$1
+ DHE-DSS-SHA AES128
+ CAMELLIA128-SHA
+ EDH-RSA-DES-SHA CBC3
+ DES CBC3--SHA
+ ECDHE-RSA--SHA RC4
+ RC4-SHA
+ ECDHE-ECDSA--SHA RC4
+ DHE-DSS--GCM-AES256 SHA384
+ DHE-RSA--GCM-AES256 SHA384
+ DHE-RSA--AES256 SHA256
+ DHE-DSS--AES256 SHA256
+ DHE-RSA--SHA AES256
+ DHE-DSS-SHA AES256
+ DHE-RSA--SHA CAMELLIA256
+ DHE-DSS-SHA CAMELLIA256
+ CAMELLIA256-SHA
+ EDH-DSS-DES-SHA CBC3
+ DHE-DSS--GCM-AES128 SHA256
+ DHE-RSA--GCM-AES128 SHA256
+ DHE-RSA--AES128 SHA256
+ DHE-DSS--AES128 SHA256
+ DHE-RSA--SHA CAMELLIA128
+ DHE-DSS-SHA CAMELLIA128
+ ADH-AES128-GCM-SHA256
+ ADH AES128--SHA
+ ADH-AES128-SHA256
+ ADH-AES256-GCM-SHA384
+ ADH AES256--SHA
+ ADH-AES256-SHA256
+ ADH CAMELLIA128--SHA
+ ADH CAMELLIA256--SHA
+ ADH-DES--SHA CBC3
+ ADH-DES-CBC-SHA
+ ADH-RC4-MD5
+ ADH-SEED-SHA
+ DES-CBC-SHA
+ DHE-DSS-SEED-SHA
+ DHE-RSA-SEED-SHA
+ EDH-DSS-DES-CBC-SHA
+ EDH-RSA-DES-CBC-SHA
+ IDEA-CBC-SHA
+ RC4-MD5
+ SEED-SHA
+ DES-CBC3-MD5
+ DES-CBC-MD5
+ RC2-加拿大广播公司-MD5
+ PSK--CBC-SH AES256 A
+ PSK-3DES-EDE-CBC-SHA
+ KRB5-DES--SH CBC3 A
+ KRB5-DES--CBC3 MD5
+ PSK--CBC-SH AES128 A
+ PSK--SH RC4 A
+ KRB5-RC4-SHA
+ KRB5-RC4-MD5
+ KRB5-des-CBC-SHA
+ KRB5-DES-CBC-MD5
+ EXP-EDH-RSA-DES-CBC-SHA
+ EXP-EDH-DSS-DES-CBC-SHA
+ EXP-ADH-DES-CBC-SHA
+ EXP-DES-CBC-SHA
+ EXP-RC2-CBC-MD5
+ EXP-KRB5--CBC-SHA RC2
+ EXP--DES-CBC-SHA KRB5
+ EXP-KRB5-RC2-CBC-MD5
+ EXP--DES KRB5-CBC-MD5
+ EXP-ADH--RC4 MD5
+ EXP--RC4 MD5
+ EXP-KRB5--SHA RC4
+ EXP-KRB5--RC4 MD5
\$1 这些是默认安全策略 Policy-2016-08 中包含的密码。 ELBSecurity
## 用于后端连接的密码套件
经典负载均衡器使用静态密码套件建立后端连接。如果您的经典负载均衡器和注册实例无法协商连接,请包含以下密码之一。
+ AES256-GCM-SHA384
+ AES256-SHA256
+ AES256-SHA
+ CAMELLIA256-SHA
+ AES128-GCM-SHA256
+ AES128-SHA256
+ AES128-SHA
+ CAMELLIA128-SHA
+ RC4-SHA
+ DES CBC3--SHA
+ DES-CBC-SHA
+ DHE-DSS--GCM-AES256 SHA384
+ DHE-RSA--GCM-AES256 SHA384
+ DHE-RSA--AES256 SHA256
+ DHE-DSS--AES256 SHA256
+ DHE-RSA--SHA AES256
+ DHE-DSS-SHA AES256
+ DHE-RSA--SHA CAMELLIA256
+ DHE-DSS-SHA CAMELLIA256
+ DHE-DSS--GCM-AES128 SHA256
+ DHE-RSA--GCM-AES128 SHA256
+ DHE-RSA--AES128 SHA256
+ DHE-DSS--AES128 SHA256
+ DHE-RSA--SHA AES128
+ DHE-DSS-SHA AES128
+ DHE-RSA--SHA CAMELLIA128
+ DHE-DSS-SHA CAMELLIA128
+ EDH-RSA-DES-SHA CBC3
+ EDH-DSS-DES-SHA CBC3
+ EDH-RSA-DES-CBC-SHA
+ EDH-DSS-DES-CBC-SHA