为应用型负载均衡(ALB)实例配置 HTTPS 监听器时,TLS 安全策略决定了 ALB 与客户端进行 TLS 协商时所支持的 TLS 协议版本和加密算法套件(Cipher Suite)。在 TLS 握手过程中,客户端通过 Client Hello 发送其支持的协议版本和加密套件列表,ALB 根据所配置的 TLS 安全策略,从中选择双方都支持的协议版本与加密套件组合完成握手。
ALB 提供默认策略和自定义策略两类:
默认策略:系统预置的常用 TLS 安全策略,覆盖不同 TLS 版本与加密套件组合,可直接选择使用。
自定义策略:当默认策略无法满足特定的安全合规要求时,您可以自行创建自定义策略,灵活指定 TLS 版本和加密套件。
本文介绍如何在 ALB 控制台创建、编辑、删除自定义 TLS 安全策略。
前提条件
创建自定义策略
1. 登录 应用型负载均衡控制台,在左侧导航栏选择应用型负载均衡 ALB > TLS 安全策略。
2. 在页面上方选择地域,选择自定义策略页签,单击新建自定义策略。
3. 在右侧弹出的新建自定义策略面板中,根据下表配置策略信息,配置完成后单击确定。
配置项 | 说明 |
TLS 安全策略名称 | 自定义 TLS 安全策略的名称。 TLS 安全策略名称长度为 2 - 128 个字符,必须以字母或中文开头,可包含字母、数字、中文、句号、下划线、短划线。 |
最低的 TLS 版本 | 该策略支持的最低 TLS 协议版本。 在下拉框中选择,可选范围包括:TLS 1.2、TLS 1.1及以上、TLS 1.0及以上。 如业务无特殊兼容性要求,建议选择 TLS 1.2及以上版本以保障安全性。 |
启用 TLS 1.3版本 | 是否额外启用 TLS 1.3协议版本。 开启后,TLS 策略在已选最低 TLS 版本基础上,额外支持 TLS 1.3。 在业务兼容的前提下,建议启用 TLS 1.3协议版本,以提升通信的安全性与效率。 |
加密套件 | 选择 TLS 版本支持的加密算法套件。 面板分为左右两栏: 左侧:可选加密套件列表。 右侧:当前已选中的套件。 |
标签 |
注意:
若同时启用了 TLS 1.2和 TLS 1.3版本,则必须至少选择一个支持 TLS 1.2的加密套件,否则无法创建。请确保为每个启用的 TLS 版本都选择了对应的加密套件。
编辑自定义策略
1. 进入 TLS 安全策略页面,选择自定义策略页签。
2. 找到目标策略,在操作列单击编辑。
3. 在编辑面板中修改 TLS 版本、加密套件等信息,修改完成后单击确定。
注意:
修改 TLS 安全策略会影响已关联监听器的 TLS 协商行为,建议在业务低峰期进行操作,并在变更后验证客户端访问是否正常。若出现异常,可立即改回原策略进行回滚。
删除自定义策略
1. 进入 TLS 安全策略页面,选择自定义策略页签。
2. 找到目标策略,在操作列单击更多 > 删除。
3. 在弹出的确认对话框中确认无误后,单击确定完成删除。
注意:
若自定义策略已被 HTTPS 监听器关联引用,需先修改该监听器的 TLS 安全策略(改为其他策略)或删除该监听器后,方可删除此自定义策略。
系统默认策略不支持编辑和删除。