本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 替换经典负载均衡器的 SSL 证书
<a name="elb-update-ssl-cert"></a>

如果您有 HTTPS 侦听器，在创建侦听器时已在负载均衡器上部署了 SSL 服务器证书。每个证书都有有效期限。您必须确保在其有效期限结束前续订或替换证书。

由您的负载均衡器提供 AWS Certificate Manager 并部署在您的负载均衡器上的证书可以自动续订。ACM 会尝试在到期之前续订证书。有关更多信息，请参阅 *AWS Certificate Manager 用户指南*中的[托管续订](https://docs.aws.amazon.com/acm/latest/userguide/managed-renewal.html)。如果您将证书导入 ACM，则必须监视证书的到期日期并在到期前续订。有关更多信息，请参阅 *AWS Certificate Manager 用户指南*中的[导入证书](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate.html)。续订部署在负载均衡器上的证书之后，新请求使用续订的证书。

要替换证书，您必须先按照在首次创建当前证书时使用的相同步骤操作来创建新证书。然后，您可以替换该证书。替换部署在负载均衡器上的证书之后，新请求使用新的证书。

请注意，续订或替换证书不影响负载均衡器节点已收到的请求，并暂停指向正常运行的目标的路由。

**Topics**
+ [使用控制台替换 SSL 证书](#us-update-lb-SSLcert-console)
+ [使用替换 SSL 证书 AWS CLI](#us-update-lb-SSLcert-cli)

## 使用控制台替换 SSL 证书
<a name="us-update-lb-SSLcert-console"></a>

您可以使用 ACM 提供的证书或上传到 IAM 的证书替换负载均衡器上部署的证书。

**使用控制台替换 HTTPS 负载均衡器的 SSL 证书**

1. 打开位于 [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) 的 Amazon EC2 控制台。

1. 在导航窗格上的 **Load Balancing**（负载均衡）下，选择 **Load Balancers**（负载均衡器）。

1. 选择负载均衡器的名称以打开其详细信息页面。

1. 在**侦听器**选项卡上，选择**管理侦听器**。

1. 在**管理侦听器**页面上，找到要更新的侦听器，再选择**默认 SSL 证书**下的**编辑**，然后执行以下操作之一：
   + 如果您使用创建或导入了证书 AWS Certificate Manager，请选择 F **rom ACM**，从列表中选择证书，然后选择**保存更改**。
**注意**  
此选项只在支持 的区域中可用 AWS Certificate Manager
   + 如果使用 IAM 导入了证书，请选择**从 IAM** 并从列表中选择该证书，然后选择**保存更改**。
   + 如果您有 SSL 证书要导入到 ACM，请选择**导入**和**到 ACM**。在**证书私有密钥**中，复制并粘贴 PEM 编码的私有密钥文件的内容。在**证书正文**中，复制并粘贴 PEM 编码的公有密钥证书文件的内容。在**证书链 – 可选**中，复制并粘贴 PEM 编码的证书链文件的内容，除非您使用的是自行签名的证书并且浏览器是否隐式接受证书并不重要。
   + 如果您有要导入的 SSL 证书，但该区域不支持 ACM，请选择**导入**和**到 IAM**。在**证书名称**字段中输入证书的名称。在**证书私有密钥**中，复制并粘贴 PEM 编码的私有密钥文件的内容。在**证书正文**中，复制并粘贴 PEM 编码的公有密钥证书文件的内容。在**证书链 – 可选**中，复制并粘贴 PEM 编码的证书链文件的内容，除非您使用的是自行签名的证书并且浏览器是否隐式接受证书并不重要。
   + 选择**保存更改**。

## 使用替换 SSL 证书 AWS CLI
<a name="us-update-lb-SSLcert-cli"></a>

您可以使用 ACM 提供的证书或上传到 IAM 的证书替换负载均衡器上部署的证书。

**使用 ACM 提供的证书替换 SSL 证书**

1. 使用以下 [request-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm/request-certificate.html) 命令请求新的证书：

   ```
   aws acm request-certificate --domain-name www.example.com
   ```

1. 使用以下 [set-load-balancer-listener-ssl-certificate 命令设置证书](https://docs.aws.amazon.com/cli/latest/reference/elb/set-load-balancer-listener-ssl-certificate.html)：

   ```
   aws elb set-load-balancer-listener-ssl-certificate --load-balancer-name my-load-balancer --load-balancer-port 443 --ssl-certificate-id arn:aws:acm:region:123456789012:certificate/12345678-1234-1234-1234-123456789012
   ```

**使用已上传到 IAM 的证书替换 SSL 证书**

1. 如果您有未上传的 SSL 证书，请参阅 *IAM 用户指南*中的[上传服务器证书](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_server-certs.html#upload-server-certificate)。

1. 使用以下[get-server-certificate](https://docs.aws.amazon.com/cli/latest/reference/iam/get-server-certificate.html)命令获取证书的 ARN：

   ```
   aws iam get-server-certificate --server-certificate-name my-new-certificate
   ```

1. 使用以下 [set-load-balancer-listener-ssl-certificate 命令设置证书](https://docs.aws.amazon.com/cli/latest/reference/elb/set-load-balancer-listener-ssl-certificate.html)：

   ```
   aws elb set-load-balancer-listener-ssl-certificate --load-balancer-name my-load-balancer --load-balancer-port 443 --ssl-certificate-id arn:aws:iam::123456789012:server-certificate/my-new-certificate
   ```