文档中心>应用型负载均衡

TLS 安全策略

最近更新时间:2026-06-26 17:42:50

我的收藏
为应用型负载均衡(ALB)实例配置 HTTPS 监听器时,TLS 安全策略决定了 ALB 与客户端进行 TLS 协商时所支持的 TLS 协议版本和加密算法套件(Cipher Suite)。在 TLS 握手过程中,客户端通过 Client Hello 发送其支持的协议版本和加密套件列表,ALB 根据所配置的 TLS 安全策略,从中选择双方都支持的协议版本与加密套件组合完成握手。
ALB 提供默认策略和自定义策略两类:
默认策略:系统预置的常用 TLS 安全策略,覆盖不同 TLS 版本与加密套件组合,可直接选择使用。
自定义策略:当默认策略无法满足特定的安全合规要求时,您可以自行创建自定义策略,灵活指定 TLS 版本和加密套件。
本文介绍如何在 ALB 控制台创建、编辑、删除自定义 TLS 安全策略。

前提条件

已创建应用型负载均衡 ALB 实例。如未创建,请参见 创建 ALB 实例

创建自定义策略

1. 登录 应用型负载均衡控制台,在左侧导航栏选择应用型负载均衡 ALB > TLS 安全策略
2. 在页面上方选择地域,选择自定义策略页签,单击新建自定义策略
3. 在右侧弹出的新建自定义策略面板中,根据下表配置策略信息,配置完成后单击确定
配置项
说明
TLS 安全策略名称
自定义 TLS 安全策略的名称。
TLS 安全策略名称长度为 2 - 128 个字符,必须以字母或中文开头,可包含字母、数字、中文、句号、下划线、短划线。
最低的 TLS 版本
该策略支持的最低 TLS 协议版本。
在下拉框中选择,可选范围包括:TLS 1.2、TLS 1.1及以上、TLS 1.0及以上。
如业务无特殊兼容性要求,建议选择 TLS 1.2及以上版本以保障安全性。
启用 TLS 1.3版本
是否额外启用 TLS 1.3协议版本。
开启后,TLS 策略在已选最低 TLS 版本基础上,额外支持 TLS 1.3。
在业务兼容的前提下,建议启用 TLS 1.3协议版本,以提升通信的安全性与效率。
加密套件
选择 TLS 版本支持的加密算法套件。
面板分为左右两栏:
左侧:可选加密套件列表。
右侧:当前已选中的套件。
标签
选择标签键和标签值,也可选择添加标签,详情请参见 创建标签
注意:
若同时启用了 TLS 1.2和 TLS 1.3版本,则必须至少选择一个支持 TLS 1.2的加密套件,否则无法创建。请确保为每个启用的 TLS 版本都选择了对应的加密套件。

编辑自定义策略

1. 进入 TLS 安全策略页面,选择自定义策略页签。
2. 找到目标策略,在操作列单击编辑
3. 在编辑面板中修改 TLS 版本加密套件等信息,修改完成后单击确定
注意:
修改 TLS 安全策略会影响已关联监听器的 TLS 协商行为,建议在业务低峰期进行操作,并在变更后验证客户端访问是否正常。若出现异常,可立即改回原策略进行回滚。

删除自定义策略

1. 进入 TLS 安全策略页面,选择自定义策略页签。
2. 找到目标策略,在操作列单击更多 > 删除
3. 在弹出的确认对话框中确认无误后,单击确定完成删除。
注意:
若自定义策略已被 HTTPS 监听器关联引用,需先修改该监听器的 TLS 安全策略(改为其他策略)或删除该监听器后,方可删除此自定义策略。
系统默认策略不支持编辑和删除。