配置TLS安全策略实现加密通信
操作场景
对于银行,金融类加密传输的应用 ,在创建和配置HTTPS监听器时,您可以选择使用安全策略,可以提高您的业务安全性。安全策略包含TLS协议版本和配套的加密算法套件。
共享型负载均衡仅支持选择默认安全策略。
添加安全策略
- 进入弹性负载均衡列表页面。
- 在弹性负载均衡列表页面,单击需要创建安全策略的监听器的负载均衡器名称。
- 在该负载均衡界面的“监听器”区域,单击“添加监听器”。
- 在“添加监听器”界面,前端协议选择“HTTPS”。
- 在“添加监听器”界面,选择“高级配置 > 安全策略”。 共享型负载均衡器支持的默认策略如表1所示。
表1 默认安全策略参数说明 名称
支持的TLS版本类型
使用的加密套件列表
tls-1-0
TLS 1.2
TLS 1.1
TLS 1.0
- ECDHE-RSA-AES256-GCM-SHA384
- ECDHE-RSA-AES128-GCM-SHA256
- ECDHE-ECDSA-AES256-GCM-SHA384
- ECDHE-ECDSA-AES128-GCM-SHA256
- AES128-GCM-SHA256
- AES256-GCM-SHA384
- ECDHE-ECDSA-AES128-SHA256
- ECDHE-RSA-AES128-SHA256
- AES128-SHA256
- AES256-SHA256
- ECDHE-ECDSA-AES256-SHA384
- ECDHE-RSA-AES256-SHA384
- ECDHE-ECDSA-AES128-SHA
- ECDHE-RSA-AES128-SHA
- ECDHE-RSA-AES256-SHA
- ECDHE-ECDSA-AES256-SHA
- AES128-SHA
- AES256-SHA
tls-1-1
TLS 1.2
TLS 1.1
tls-1-2
TLS 1.2
tls-1-2-strict
TLS 1.2
- ECDHE-RSA-AES256-GCM-SHA384
- ECDHE-RSA-AES128-GCM-SHA256
- ECDHE-ECDSA-AES256-GCM-SHA384
- ECDHE-ECDSA-AES128-GCM-SHA256
- AES128-GCM-SHA256
- AES256-GCM-SHA384
- ECDHE-ECDSA-AES128-SHA256
- ECDHE-RSA-AES128-SHA256
- AES128-SHA256
- AES256-SHA256
- ECDHE-ECDSA-AES256-SHA384
- ECDHE-RSA-AES256-SHA384
- 共享型负载均衡安全策略最高支持TLS 1.2协议。
- 上述列表为ELB支持的加密套件,同时客户端也支持多个加密套件,这样在实际使用时,加密套件的选择范围为:ELB和客户端支持的加密套件的交集,加密套件的选择顺序为:ELB支持的加密套件顺序。
- 配置完成,单击“确定”。
共享型默认安全策略差异说明
安全策略 | tls-1-0 | tls-1-1 | tls-1-2 | tls-1-2-strict |
|---|---|---|---|---|
TLS 协议 | ||||
Protocol-TLS 1.3 | - | - | - | - |
Protocol-TLS 1.2 | √ | √ | √ | √ |
Protocol-TLS 1.1 | √ | √ | - | - |
Protocol-TLS 1.0 | √ | - | - | - |
加密套件 | ||||
EDHE-RSA-AES128-GCM-SHA256 | √ | √ | √ | √ |
ECDHE-RSA-AES256-GCM-SHA384 | √ | √ | √ | √ |
ECDHE-RSA-AES128-SHA256 | √ | √ | √ | √ |
ECDHE-RSA-AES256-SHA384 | √ | √ | √ | √ |
AES128-GCM-SHA256 | √ | √ | √ | √ |
AES256-GCM-SHA384 | √ | √ | √ | √ |
AES128-SHA256 | √ | √ | √ | √ |
AES256-SHA256 | √ | √ | √ | √ |
ECDHE-RSA-AES128-SHA | √ | √ | √ | - |
ECDHE-RSA-AES256-SHA | √ | √ | √ | - |
AES128-SHA | √ | √ | √ | - |
AES256-SHA | √ | √ | √ | - |
ECDHE-ECDSA-AES128-GCM-SHA256 | √ | √ | √ | √ |
ECDHE-ECDSA-AES128-SHA256 | √ | √ | √ | √ |
ECDHE-ECDSA-AES128-SHA | √ | √ | √ | - |
ECDHE-ECDSA-AES256-GCM-SHA384 | √ | √ | √ | √ |
ECDHE-ECDSA-AES256-SHA384 | √ | √ | √ | √ |
ECDHE-ECDSA-AES256-SHA | √ | √ | √ | - |
ECDHE-RSA-AES128-GCM-SHA256 | - | - | - | - |
TLS_AES_256_GCM_SHA384 | - | - | - | - |
TLS_CHACHA20_POLY1305_SHA256 | - | - | - | - |
TLS_AES_128_GCM_SHA256 | - | - | - | - |
TLS_AES_128_CCM_8_SHA256 | - | - | - | - |
TLS_AES_128_CCM_SHA256 | - | - | - | - |
DHE-RSA-AES128-SHA | - | - | - | - |
DHE-DSS-AES128-SHA | - | - | - | - |
CAMELLIA128-SHA | - | - | - | - |
EDH-RSA-DES-CBC3-SHA | - | - | - | - |
DES-CBC3-SHA | - | - | - | - |
ECDHE-RSA-RC4-SHA | - | - | - | - |
RC4-SHA | - | - | - | - |
DHE-RSA-AES256-SHA | - | - | - | - |
DHE-DSS-AES256-SHA | - | - | - | - |
DHE-RSA-CAMELLIA256-SHA | - | - | - | - |
ECC-SM4-SM3 | - | - | - | - |
ECDHE-SM4-SM3 | - | - | - | - |
修改安全策略
修改安全策略时,后端服务器需要放通安全组,放开对ELB健康检查的限制(100.125IP的限制,UDP健康检查icmp报文的限制等),否则后端健康检查没上线,会影响业务。
- 进入弹性负载均衡列表页面。
- 在弹性负载均衡列表页面,单击需要修改安全策略的监听器的负载均衡器名称。
- 切换至“监听器”页签,单击需要修改安全策略的监听器名称。
- 在监听器的基本信息页面,单击“编辑监听器”。
- 在“编辑监听器”界面,展开高级配置,选择安全策略参数。
- 单击“确定”。
