本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# Classic Load Balancer 的 SSL 溝通組態
<a name="elb-ssl-security-policy"></a>

Elastic Load Balancing 使用 Secure Sockets Layer (SSL) 交涉組態 (稱為*安全政策*)，在用戶端與負載平衡器之間交涉 SSL 連線。安全政策結合 SSL 通訊協定、SSL 加密及伺服器優先順序選項。如需有關設定負載平衡器的 SSL 連線的詳細資訊，請參閱[Classic Load Balancer 的接聽程式](elb-listener-config.md)。

**Topics**
+ [安全政策](#security-policy-types)
+ [SSL 通訊協定](#ssl-protocols)
+ [伺服器優先順序](#server-order-preference)
+ [SSL 加密](#ssl-ciphers)
+ [後端連線的加密套件](#elb-backend-cipher-suite)

## 安全政策
<a name="security-policy-types"></a>

在用戶端和負載平衡器之間 SSL 交涉期間，安全政策決定支援哪些加密方式和通訊協定。您可以設定 Classic Load Balancer 使用預先定義或自訂安全政策。

請注意， AWS Certificate Manager (ACM) 提供的憑證包含 RSA 公有金鑰。因此，如果您使用 ACM 提供的憑證，您必須在安全政策中包含使用 RSA 的加密套件，否則 TLS 連線失敗。

**預先定義的安全政策**  
最新的預先定義安全政策名稱包含根據年和月發佈的版本資訊。例如，預設的預先定義安全政策為 `ELBSecurityPolicy-2016-08`。每當發佈新的預先定義安全政策時，您可以更新設定以使用它。

如需為預先定義安全政策啟用通訊協定和加密的相關詳細資訊，請參閱[Classic Load Balancer 適用的預先定義 SSL 安全政策](elb-security-policy-table.md)。

**自訂安全政策**  
您可以建立含所需的加密方式和通訊協定的自訂溝通組態。舉例來說，有些安全合規標準 (例如 PCI 和 SOC) 可能需要一組特定的通訊協定和加密方式，以確保符合安全標準。在這種情況下，您可以建立自訂安全政策以符合這些標準。

如需建立自訂安全政策的詳細資訊，請參閱[更新 Classic Load Balancer 的 SSL 溝通組態](ssl-config-update.md)。

## SSL 通訊協定
<a name="ssl-protocols"></a>

*SSL 通訊協定*會在用戶端與伺服器之間建立安全連線，並確保在用戶端與負載平衡器之間傳遞的所有資料為私有。

Secure Sockets Layer (SSL) 和 Transport Layer Security (TLS) 是用於加密機密資料的加密通訊協定 (透過安全網路，例如網際網路)。TLS 通訊協定是較新版本的 SSL 協定。在 Elastic Load Balancing 文件中，我們同時將SSL 和 TLS 通訊協定指為 SSL 通訊協定。

**建議的通訊協定**  
建議使用 TLS 1.2，其用於 ELBSecurityPolicy-TLS-1-2-2017-01 預先定義的安全政策中。也可以在自訂安全政策中使用 TLS 1.2。預設安全政策支援 TLS 1.2 和更早版本的 TLS，因此其安全性低於 ELBSecurityPolicy-TLS-1-2-2017-01。

**已廢除的通訊協定**  
如果之前已在自訂政策中啟用 SSL 2.0 通訊協定，則建議您將安全政策更新至預先定義的安全政策之一。

## 伺服器優先順序
<a name="server-order-preference"></a>

Elastic Load Balancing 支援適用於用戶端和負載平衡器之間溝通連線的*伺服器優先順序*選項。在 SSL 連線交涉程序期間，用戶端與負載平衡器會出示它們分別支援的加密和通訊協定的清單 (以偏好的順序)。在預設情況下，將針對 SSL 安全連線選取用戶端清單上符合任何負載平衡器加密的第一個加密。如果負載平衡器設定為支援伺服器優先順序，則該負載平衡器會在清單中 (亦即用戶端加密清單) 選擇第一個加密。這可確保負載平衡器決定將加密用於 SSL 連線。如果您不啟用伺服器優先順序，用戶端顯示的加密順序是用於溝通用戶端和負載平衡器之間的連線。

## SSL 加密
<a name="ssl-ciphers"></a>

*SSL 加密*是一項加密演算法，使用加密金鑰來建立編碼的訊息。SSL 通訊協定使用數個 SSL 密碼透過網際網路為資料加密。

請注意， AWS Certificate Manager (ACM) 提供的憑證包含 RSA 公有金鑰。因此，如果您使用 ACM 提供的憑證，您必須在安全政策中包含使用 RSA 的加密套件，否則 TLS 連線失敗。

Elastic Load Balancing 支援下列可與 Classic Load Balancer 搭配使用的加密方式。這些密碼的子集會使用預先定義的 SSL 政策。所有這些加密方式可用於自訂政策。我們建議您使用僅使用包含在預設安全政策 (加星號者) 的加密方式。許多其他加密方式並不安全，應自擔風險來使用。

**加密方式**
+ ECDHE-ECDSA-AES128-GCM-SHA256 \$1
+ ECDHE-RSA-AES128-GCM-SHA256 \$1
+ ECDHE-ECDSA-AES128-SHA256 \$1
+ ECDHE-RSA-AES128-SHA256 \$1
+ ECDHE-ECDSA-AES128-SHA \$1
+ ECDHE-RSA-AES128-SHA \$1
+ DHE-RSA-AES128-SHA
+ ECDHE-ECDSA-AES256-GCM-SHA384 \$1
+ ECDHE-RSA-AES256-GCM-SHA384 \$1
+ ECDHE-ECDSA-AES256-SHA384 \$1
+ ECDHE-RSA-AES256-SHA384 \$1
+ ECDHE-RSA-AES256-SHA \$1
+ ECDHE-ECDSA-AES256-SHA \$1
+ AES128-GCM-SHA256 \$1
+ AES128-SHA256 \$1
+ AES128-SHA \$1
+ AES256-GCM-SHA384 \$1
+ AES256-SHA256 \$1
+ AES256-SHA \$1
+ DHE-DSS-AES128-SHA
+ CAMELLIA128-SHA
+ EDH-RSA-DES-CBC3-SHA
+ DES-CBC3-SHA
+ ECDHE-RSA-RC4-SHA
+ RC4-SHA
+ ECDHE-ECDSA-RC4-SHA
+ DHE-DSS-AES256-GCM-SHA384
+ DHE-RSA-AES256-GCM-SHA384
+ DHE-RSA-AES256-SHA256
+ DHE-DSS-AES256-SHA256
+ DHE-RSA-AES256-SHA
+ DHE-DSS-AES256-SHA
+ DHE-RSA-CAMELLIA256-SHA
+ DHE-DSS-CAMELLIA256-SHA
+ CAMELLIA256-SHA
+ EDH-DSS-DES-CBC3-SHA
+ DHE-DSS-AES128-GCM-SHA256
+ DHE-RSA-AES128-GCM-SHA256
+ DHE-RSA-AES128-SHA256
+ DHE-DSS-AES128-SHA256
+ DHE-RSA-CAMELLIA128-SHA
+ DHE-DSS-CAMELLIA128-SHA
+ ADH-AES128-GCM-SHA256
+ ADH-AES128-SHA
+ ADH-AES128-SHA256
+ ADH-AES256-GCM-SHA384
+ ADH-AES256-SHA
+ ADH-AES256-SHA256
+ ADH-CAMELLIA128-SHA
+ ADH-CAMELLIA256-SHA
+ ADH-DES-CBC3-SHA
+ ADH-DES-CBC-SHA
+ ADH-RC4-MD5
+ ADH-SEED-SHA
+ DES-CBC-SHA
+ DHE-DSS-SEED-SHA
+ DHE-RSA-SEED-SHA
+ EDH-DSS-DES-CBC-SHA
+ EDH-RSA-DES-CBC-SHA
+ IDEA-CBC-SHA
+ RC4-MD5
+ SEED-SHA
+ DES-CBC3-MD5
+ DES-CBC-MD5
+ RC2-CBC-MD5
+ PSK-AES256-CBC-SHA
+ PSK-3DES-EDE-CBC-SHA
+ KRB5-DES-CBC3-SHA
+ KRB5-DES-CBC3-MD5
+ PSK-AES128-CBC-SHA
+ PSK-RC4-SHA
+ KRB5-RC4-SHA
+ KRB5-RC4-MD5
+ KRB5-DES-CBC-SHA
+ KRB5-DES-CBC-MD5
+ EXP-EDH-RSA-DES-CBC-SHA
+ EXP-EDH-DSS-DES-CBC-SHA
+ EXP-ADH-DES-CBC-SHA
+ EXP-DES-CBC-SHA
+ EXP-RC2-CBC-MD5
+ EXP-KRB5-RC2-CBC-SHA
+ EXP-KRB5-DES-CBC-SHA
+ EXP-KRB5-RC2-CBC-MD5
+ EXP-KRB5-DES-CBC-MD5
+ EXP-ADH-RC4-MD5
+ EXP-RC4-MD5
+ EXP-KRB5-RC4-SHA
+ EXP-KRB5-RC4-MD5

\$1 這些是預設安全政策 ELBSecurityPolicy-2016-08 中包含的密碼。

## 後端連線的加密套件
<a name="elb-backend-cipher-suite"></a>

Classic Load Balancer 使用靜態密碼套件進行後端連線。如果您的 Classic Load Balancer 和已註冊的執行個體無法交涉連線，請包含下列其中一個密碼。
+ AES256-GCM-SHA384
+ AES256-SHA256
+ AES256-SHA
+ CAMELLIA256-SHA
+ AES128-GCM-SHA256
+ AES128-SHA256
+ AES128-SHA
+ CAMELLIA128-SHA
+ RC4-SHA
+ DES-CBC3-SHA
+ DES-CBC-SHA
+ DHE-DSS-AES256-GCM-SHA384
+ DHE-RSA-AES256-GCM-SHA384
+ DHE-RSA-AES256-SHA256
+ DHE-DSS-AES256-SHA256
+ DHE-RSA-AES256-SHA
+ DHE-DSS-AES256-SHA
+ DHE-RSA-CAMELLIA256-SHA
+ DHE-DSS-CAMELLIA256-SHA
+ DHE-DSS-AES128-GCM-SHA256
+ DHE-RSA-AES128-GCM-SHA256
+ DHE-RSA-AES128-SHA256
+ DHE-DSS-AES128-SHA256
+ DHE-RSA-AES128-SHA
+ DHE-DSS-AES128-SHA
+ DHE-RSA-CAMELLIA128-SHA
+ DHE-DSS-CAMELLIA128-SHA
+ EDH-RSA-DES-CBC3-SHA
+ EDH-DSS-DES-CBC3-SHA
+ EDH-RSA-DES-CBC-SHA
+ EDH-DSS-DES-CBC-SHA