本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 更換 Classic Load Balancer 的 SSL 憑證
<a name="elb-update-ssl-cert"></a>

如果您有 HTTPS 接聽程式，當建立接聽程式時，您會將 SSL 伺服器憑證部署在負載平衡器上。每個憑證均附帶有效期間。您必須確保在有效期間結束之前，續約或更換憑證。

負載平衡器上提供 AWS Certificate Manager 和部署的憑證可以自動續約。ACM 會在憑證過期之前嘗試續約。如需詳細資訊，請參閱 *AWS Certificate Manager 使用者指南*中的[受管續約](https://docs.aws.amazon.com/acm/latest/userguide/managed-renewal.html)。如果您將憑證匯入至 ACM，則必須監控憑證的過期日期，並在憑證過期之前續約。如需詳細資訊，請參閱 *AWS Certificate Manager 使用者指南*中的[匯入憑證](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate.html)。當部署在負載平衡器上的憑證被更新後，新的請求會使用更新的憑證。

若要替換憑證，您必須先遵循建立目前的憑證時所使用的相同步驟來建立新憑證。然後，您可以替換憑證。當部署在負載平衡器上的憑證被取代後，新的請求會使用新的憑證。

請注意，更新或更換憑證並不會影響負載平衡器節點已接收，並且等待路由到運作狀態良好目標的請求。

**Topics**
+ [使用主控台替換 SSL 憑證](#us-update-lb-SSLcert-console)
+ [使用 取代 SSL 憑證 AWS CLI](#us-update-lb-SSLcert-cli)

## 使用主控台替換 SSL 憑證
<a name="us-update-lb-SSLcert-console"></a>

您可以將部署在負載平衡器上的憑證取代為 ACM 所提供的憑證，或上傳到 IAM 的憑證。

**使用主控台取代 HTTPS 負載平衡器的 SSL 憑證**

1. 前往 [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) 開啟 Amazon EC2 主控台。

1. 在導覽窗格的 **Load Balancing (負載平衡器)**，選擇 **Load Balancer (負載平衡器)**。

1. 選擇負載平衡器的名稱來開啟其詳細資訊頁面。

1. 在**接聽程式**索引標籤中，選擇**管理接聽程式**。

1. 在**管理接聽程式頁面**上找到要更新的接聽程式，在**預設 SSL 憑證**下方選擇**編輯**，然後執行下列其中一項：
   + 如果您使用 建立或匯入憑證 AWS Certificate Manager，請選擇**從 ACM**，從清單中選擇憑證，然後選擇**儲存變更**。
**注意**  
此選項僅適用於支援 AWS Certificate Manager的區域。
   + 如果您使用 IAM 匯入憑證，請選擇**從 IAM**，從清單中選取憑證，然後選擇**儲存變更**。
   + 如果您想將 SSL 憑證匯入 ACM，請選取**匯入**和**到 ACM**。在**憑證私有金鑰**中，複製並貼上 PEM 編碼的私有金鑰檔案內容。在**憑證內文**中，複製並貼上 PEM 編碼的公有金鑰憑證檔案內容。在**憑證鏈 - 選用**中，複製並貼上 PEM 編碼的憑證鏈檔案內容，除非您使用的是自我簽署憑證，且不介意瀏覽器隱含地接受憑證。
   + 如果您有要匯入的 SSL 憑證，但 ACM 在此區域中不受支援，請選取**匯入**和**到 IAM**。在**憑證名稱**中輸入憑證名稱。在**憑證私有金鑰**中，複製並貼上 PEM 編碼的私有金鑰檔案內容。在**憑證內文**中，複製並貼上 PEM 編碼的公有金鑰憑證檔案內容。在**憑證鏈 - 選用**中，複製並貼上 PEM 編碼的憑證鏈檔案內容，除非您使用的是自我簽署憑證，且不介意瀏覽器隱含地接受憑證。
   + 選擇**儲存變更**。

## 使用 取代 SSL 憑證 AWS CLI
<a name="us-update-lb-SSLcert-cli"></a>

您可以將部署在負載平衡器上的憑證取代為 ACM 所提供的憑證，或上傳到 IAM 的憑證。

**將 SSL 憑證取代為 ACM 提供的憑證**

1. 使用下列的 [request-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm/request-certificate.html) 命令申請新憑證：

   ```
   aws acm request-certificate --domain-name www.example.com
   ```

1. 使用以下 [set-load-balancer-listener-ssl-certificate](https://docs.aws.amazon.com/cli/latest/reference/elb/set-load-balancer-listener-ssl-certificate.html) 命令設定憑證：

   ```
   aws elb set-load-balancer-listener-ssl-certificate --load-balancer-name my-load-balancer --load-balancer-port 443 --ssl-certificate-id arn:aws:acm:region:123456789012:certificate/12345678-1234-1234-1234-123456789012
   ```

**將 SSL 憑證取代為上傳至 IAM 的憑證**

1. 如果您有 SSL 憑證但尚未上傳，請參閱《*IAM 使用者指南*》中的[上傳伺服器憑證](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_server-certs.html#upload-server-certificate)。

1. 使用下列 [get-server-certificate](https://docs.aws.amazon.com/cli/latest/reference/iam/get-server-certificate.html) 命令以取得憑證的 ARN：

   ```
   aws iam get-server-certificate --server-certificate-name my-new-certificate
   ```

1. 使用以下 [set-load-balancer-listener-ssl-certificate](https://docs.aws.amazon.com/cli/latest/reference/elb/set-load-balancer-listener-ssl-certificate.html) 命令設定憑證：

   ```
   aws elb set-load-balancer-listener-ssl-certificate --load-balancer-name my-load-balancer --load-balancer-port 443 --ssl-certificate-id arn:aws:iam::123456789012:server-certificate/my-new-certificate
   ```