为CLB配置HTTPS监听时,TLS安全策略决定了CLB与客户端进行TLS协商时支持的TLS协议版本和加密算法套件。CLB预置了部分常用的TLS安全策略供用户直接选择。
工作原理
TLS安全策略配置在CLB侧,用于定义其在TLS协商中支持的TLS协议版本和加密算法套件。在握手过程中,客户端通过Client Hello发送支持的协议版本和加密套件列表,CLB根据策略从列表中选择双方都支持的协议版本和加密套件组合并以Server Hello响应,后续步骤(如密钥交换、会话密钥生成)均基于此方案进行。
TLS安全策略
各类信息安全标准可能对CLB的TLS安全策略提出要求,用户可展开下表查看各策略支持的TLS协议版本和加密算法套件,用户可按需配置。CLB不支持自定义TLS安全策略,如有需求,可使用ALB或NLB。
对于面向公网且无特殊兼容性要求的应用,建议使用 tls_cipher_policy_1_2 及以上策略。
为监听配置TLS安全策略
控制台
添加HTTPS监听时,在SSL证书页签,单击高级配置后面的编辑,在展开项中选择TLS安全策略。
修改TLS安全策略:在实例详情页的监听页签,单击目标HTTPS监听名称打开监听详情对话框,在SSL证书区域修改TLS安全策略。
API
调用CreateLoadBalancerHTTPSListener创建HTTPS监听或调用SetLoadBalancerHTTPSListenerAttribute修改HTTPS监听的配置时,TLSCipherPolicy字段传入TLS安全策略。
计费说明
TLS安全策略本身不产生任何费用。购买和使用CLB实例将产生费用。
常见问题
CLB支持配置自定义TLS安全策略吗?
不支持。CLB目前仅支持预设的TLS安全策略。
如有自定义TLS安全策略的需求,推荐使用以下产品:
应用型负载均衡ALB:配置HTTPS监听时,支持自定义TLS安全策略。
网络型负载均衡NLB:配置TCPSSL监听时,支持自定义TLS安全策略。
应用于生产环境
TLS协议版本:如应用无特殊兼容性要求,建议使用TLS 1.2和TLS 1.3保障安全性。
变更回滚:调整TLS安全策略后,若出现异常,可立即通过修改监听配置回滚。建议在业务低峰期进行变更。