凯发k8国际娱乐官网入口-k8凯发> 弹性负载均衡 elb> > tls安全策略

更新时间：2023-12-11 gmt 08:00

tls安全策略-凯发k8国际娱乐官网入口

操作场景

对于银行，金融类加密传输的应用，在创建和配置https监听器时，您可以选择使用安全策略，可以提高您的业务安全性。安全策略包含tls协议版本和配套的加密算法套件。

独享型负载均衡：支持选择默认安全策略或创建自定义策略。
共享型负载均衡：仅支持选择默认安全策略。

添加安全策略

登录管理控制台。
在管理控制台左上角单击图标，选择区域和项目。
单击页面左上角的，选择“网络 > 弹性负载均衡”。
在“负载均衡器”界面，单击需要创建安全策略的监听器的负载均衡器名称。
在该负载均衡界面的“监听器”区域，单击“添加监听器”。
在“添加监听器”界面，前端协议选择“https”。

在“添加监听器”界面，选择“高级配置 > 安全策略”。

支持选择默认策略或自定义策略。如果列表中无自定义策略，您可以选择创建自定义策略。默认策略如表1所示。

表1 默认安全策略参数说明
名称	说明	支持的tls版本类型	使用的加密套件列表
tls-1-0	支持tls 1.0、tls 1.1、tls 1.2版本与相关加密套件，兼容性好，安全性低。	tls 1.2 tls 1.1 tls 1.0	ecdhe-rsa-aes256-gcm-sha384 ecdhe-rsa-aes128-gcm-sha256 ecdhe-ecdsa-aes256-gcm-sha384 ecdhe-ecdsa-aes128-gcm-sha256 aes128-gcm-sha256 aes256-gcm-sha384 ecdhe-ecdsa-aes128-sha256 ecdhe-rsa-aes128-sha256 aes128-sha256 aes256-sha256 ecdhe-ecdsa-aes256-sha384 ecdhe-rsa-aes256-sha384 ecdhe-ecdsa-aes128-sha ecdhe-rsa-aes128-sha ecdhe-rsa-aes256-sha ecdhe-ecdsa-aes256-sha aes128-sha aes256-sha
tls-1-1	支持tls 1.1、tls 1.2版本与相关加密套件，兼容性较好，安全性中。	tls 1.2 tls 1.1
tls-1-2	支持tls 1.2版本与相关加密套件，兼容性较好，安全性高。	tls 1.2
tls-1-0-inherit	支持tls 1.0、tls 1.1、tls 1.2版本与相关加密套件，兼容性好，安全性低。	tls 1.2 tls 1.1 tls 1.0	ecdhe-rsa-aes256-gcm-sha384 ecdhe-rsa-aes128-gcm-sha256 ecdhe-ecdsa-aes256-gcm-sha384 ecdhe-ecdsa-aes128-gcm-sha256 aes128-gcm-sha256 aes256-gcm-sha384 ecdhe-ecdsa-aes128-sha256 ecdhe-rsa-aes128-sha256 aes128-sha256 aes256-sha256 ecdhe-ecdsa-aes256-sha384 ecdhe-rsa-aes256-sha384 ecdhe-ecdsa-aes128-sha ecdhe-rsa-aes128-sha dhe-rsa-aes128-sha ecdhe-rsa-aes256-sha ecdhe-ecdsa-aes256-sha aes128-sha aes256-sha dhe-dss-aes128-sha camellia128-sha edh-rsa-des-cbc3-sha des-cbc3-sha ecdhe-rsa-rc4-sha rc4-sha dhe-rsa-aes256-sha dhe-dss-aes256-sha dhe-rsa-camellia256-sha
tls-1-2-strict	支持tls 1.2版本与相关加密套件，兼容性一般，安全性高。	tls 1.2	ecdhe-rsa-aes256-gcm-sha384 ecdhe-rsa-aes128-gcm-sha256 ecdhe-ecdsa-aes256-gcm-sha384 ecdhe-ecdsa-aes128-gcm-sha256 aes128-gcm-sha256 aes256-gcm-sha384 ecdhe-ecdsa-aes128-sha256 ecdhe-rsa-aes128-sha256 aes128-sha256 aes256-sha256 ecdhe-ecdsa-aes256-sha384 ecdhe-rsa-aes256-sha384
tls-1-0-with-1-3（独享型实例）	支持tls 1.0及以上版本与相关加密套件，兼容性最好，安全性低。	tls 1.3 tls 1.2 tls 1.1 tls 1.0	ecdhe-rsa-aes256-gcm-sha384 ecdhe-rsa-aes128-gcm-sha256 ecdhe-ecdsa-aes256-gcm-sha384 ecdhe-ecdsa-aes128-gcm-sha256 aes128-gcm-sha256 aes256-gcm-sha384 ecdhe-ecdsa-aes128-sha256 ecdhe-rsa-aes128-sha256 aes128-sha256 aes256-sha256 ecdhe-ecdsa-aes256-sha384 ecdhe-rsa-aes256-sha384 ecdhe-ecdsa-aes128-sha ecdhe-rsa-aes128-sha ecdhe-rsa-aes256-sha ecdhe-ecdsa-aes256-sha aes128-sha aes256-sha tls_aes_128_gcm_sha256 tls_aes_256_gcm_sha384 tls_chacha20_poly1305_sha256 tls_aes_128_ccm_sha256 tls_aes_128_ccm_8_sha256
tls-1-2-fs-with-1-3（独享型实例）	支持tls 1.2及以上版本与前向安全相关的加密套件，兼容性较好，安全性最高。	tls 1.3 tls 1.2	ecdhe-rsa-aes256-gcm-sha384 ecdhe-rsa-aes128-gcm-sha256 ecdhe-ecdsa-aes256-gcm-sha384 ecdhe-ecdsa-aes128-gcm-sha256 ecdhe-ecdsa-aes128-sha256 ecdhe-rsa-aes128-sha256 ecdhe-ecdsa-aes256-sha384 ecdhe-rsa-aes256-sha384 tls_aes_128_gcm_sha256 tls_aes_256_gcm_sha384 tls_chacha20_poly1305_sha256 tls_aes_128_ccm_sha256 tls_aes_128_ccm_8_sha256
tls-1-2-fs（独享型实例）	支持tls 1.2版本与前向安全相关的加密套件，兼容性一般，安全性最高。	tls 1.2	ecdhe-rsa-aes256-gcm-sha384 ecdhe-rsa-aes128-gcm-sha256 ecdhe-ecdsa-aes256-gcm-sha384 ecdhe-ecdsa-aes128-gcm-sha256 ecdhe-ecdsa-aes128-sha256 ecdhe-rsa-aes128-sha256 ecdhe-ecdsa-aes256-sha384 ecdhe-rsa-aes256-sha384
hybrid-policy-1-0（独享型实例）	支持tls 1.1、tls 1.2版本与相关加密套件，兼容性较好，安全性中。	tls 1.2 tls 1.1	ecdhe-rsa-aes256-gcm-sha384 ecdhe-rsa-aes128-gcm-sha256 ecdhe-ecdsa-aes256-gcm-sha384 ecdhe-ecdsa-aes128-gcm-sha256 aes128-gcm-sha256 aes256-gcm-sha384 ecdhe-ecdsa-aes128-sha256 ecdhe-rsa-aes128-sha256 aes128-sha256 aes256-sha256 ecdhe-ecdsa-aes256-sha384 ecdhe-rsa-aes256-sha384 ecdhe-ecdsa-aes128-sha ecdhe-rsa-aes128-sha ecdhe-rsa-aes256-sha ecdhe-ecdsa-aes256-sha aes128-sha aes256-sha ecc-sm4-sm3 ecdhe-sm4-sm3
tls-1-2-strict-no-cbc（独享型实例）	支持tls 1.2版本与不含cbc模式的加密套件，兼容性一般，安全性高。	tls 1.2	ecdhe-ecdsa-aes256-gcm-sha384 ecdhe-ecdsa-aes128-gcm-sha256 ecdhe-rsa-aes256-gcm-sha384 ecdhe-rsa-aes128-gcm-sha256

安全策略“tls-1-0-with-1-3”、“tls-1-2-fs-with-1-3”、“tls-1-2-fs”、“hybrid-policy-1-0”、“tls-1-2-strict-no-cbc”目前仅支持独享型实例。
目前，独享型负载均衡安全策略最高支持tls 1.3协议，共享型负载均衡安全策略最高支持tls 1.2协议。
上述列表为elb支持的加密套件，同时客户端也支持多个加密套件，这样在实际使用时，加密套件的选择范围为：elb和客户端支持的加密套件的交集，加密套件的选择顺序为：elb支持的加密套件顺序。

配置完成，单击“确定”。

安全策略差异说明

表2 安全策略差异说明
安全策略	tls-1-0	tls-1-1	tls-1-2	tls-1-0-inherit	tls-1-2-strict	tls-1-0-with-1-3	tls-1-2-fs-with-1-3	tls-1-2-fs	hybrid-policy-1-0
tls 协议
protocol-tls 1.3	-	-	-	-	-	√	√	√	-
protocol-tls 1.2	√	√	√	√	√	√	√	√	√
protocol-tls 1.1	√	√	-	√	-	√	-	-	√
protocol-tls 1.0	√	-	-	√	-	√	-	-	-
加密套件
edhe-rsa-aes128-gcm-sha256	√	√	√	-	√	-	-	-	-
ecdhe-rsa-aes256-gcm-sha384	√	√	√	√	√	√	√	√	√
ecdhe-rsa-aes128-sha256	√	√	√	√	√	√	√	√	√
ecdhe-rsa-aes256-sha384	√	√	√	√	√	√	√	√	√
aes128-gcm-sha256	√	√	√	√	√	√	-	-	√
aes256-gcm-sha384	√	√	√	√	√	√	-	-	√
aes128-sha256	√	√	√	√	√	√	-	-	√
aes256-sha256	√	√	√	√	√	√	-	-	√
ecdhe-rsa-aes128-sha	√	√	√	√	-	√	-	-	√
ecdhe-rsa-aes256-sha	√	√	√	√	-	√	-	-	√
aes128-sha	√	√	√	√	-	√	-	-	√
aes256-sha	√	√	√	√	-	√	-	-	√
ecdhe-ecdsa-aes128-gcm-sha256	√	√	√	√	√	√	√	√	√
ecdhe-ecdsa-aes128-sha256	√	√	√	√	√	√	√	√	√
ecdhe-ecdsa-aes128-sha	√	√	√	√	-	√	-	-	√
ecdhe-ecdsa-aes256-gcm-sha384	√	√	√	√	√	√	√	√	√
ecdhe-ecdsa-aes256-sha384	√	√	√	√	√	√	√	√	√
ecdhe-ecdsa-aes256-sha	√	√	√	√	-	√	-	-	√
ecdhe-rsa-aes128-gcm-sha256	-	-	-	√	-	√	√	√	√
tls_aes_256_gcm_sha384	-	-	-	-	-	√	√	√	-
tls_chacha20_poly1305_sha256	-	-	-	-	-	√	√	√	-
tls_aes_128_gcm_sha256	-	-	-	-	-	√	√	√	-
tls_aes_128_ccm_8_sha256	-	-	-	-	-	√	√	√	-
tls_aes_128_ccm_sha256	-	-	-	-	-	√	√	√	-
dhe-rsa-aes128-sha	-	-	-	√	-	-	-	-	-
dhe-dss-aes128-sha	-	-	-	√	-	-	-	-	-
camellia128-sha	-	-	-	√	-	-	-	-	-
edh-rsa-des-cbc3-sha	-	-	-	√	-	-	-	-	-
des-cbc3-sha	-	-	-	√	-	-	-	-	-
ecdhe-rsa-rc4-sha	-	-	-	√	-	-	-	-	-
rc4-sha	-	-	-	√	-	-	-	-	-
dhe-rsa-aes256-sha	-	-	-	√	-	-	-	-	-
dhe-dss-aes256-sha	-	-	-	√	-	-	-	-	-
dhe-rsa-camellia256-sha	-	-	-	√	-	-	-	-	-
ecc-sm4-sm3	-	-	-	-	-	-	-	-	√
ecdhe-sm4-sm3	-	-	-	-	-	-	-	-	√

创建自定义策略

登录管理控制台。
在管理控制台左上角单击图标，选择区域和项目。
单击页面左上角的，选择“网络 > 弹性负载均衡”。
单击页面左边的“tls安全策略”。
在tls安全策略页面，单击页面右上角的“创建自定义策略”。

配置自定义策略参数，参数说明参见表3。

表3 自定义策略参数说明
参数	说明	样例
名称	自定义策略的名称。	tls-test
选择协议版本	自定义策略支持的tls协议版本类型。支持选择多个协议版本。包含： tls 1.0 tls 1.1 tls 1.2 tls 1.3	-
选择加密算法套件	选择与协议版本配套的加密算法套件。支持选择多个加密算法套件。	-
描述	自定义策略相关信息的描述说明。	-

确认参数配置，单击“确定”。

修改自定义安全策略

您可跟根据使用需求对创建完成的自定义安全策略进行修改。

登录管理控制台。
在管理控制台左上角单击图标，选择区域和项目。
单击页面左上角的，选择“网络 > 弹性负载均衡”。
单击页面左边的“tls安全策略”。
在tls安全策略页面，待修改的自定义安全策略所在行的操作列，单击“修改“。
在“修改自定义安全策略“弹窗，修改自定义安全策略，参数说明参见表3。
确认参数配置，单击“确定”。

删除自定义安全策略

您可对创建完成的自定义安全策略进行删除。

如果自定义安全策略已被关联监听器使用，则无法执行删除，请先修改关联监听器的安全策略。

登录管理控制台。
在管理控制台左上角单击图标，选择区域和项目。
单击页面左上角的，选择“网络 > 弹性负载均衡”。
单击左侧导航栏的“tls安全策略”。
在tls安全策略页面，待删除的自定义安全策略所在行的操作列，单击“删除“。
在确认删除弹窗，单击“是“。

修改安全策略

修改安全策略时，后端服务器需要放通安全组，放开对elb健康检查的限制（100.125ip的限制，udp健康检查icmp报文的限制等），否则后端健康检查没上线，会影响业务。

登录管理控制台。
在管理控制台左上角单击图标，选择区域和项目。
单击页面左上角的，选择“网络 > 弹性负载均衡”。
在“负载均衡器”界面，单击需要修改安全策略的监听器的负载均衡器名称。
切换至“监听器”页签，单击需要修改安全策略的监听器名称。
在监听器的基本信息页面，单击“编辑监听器”。
在“编辑监听器”界面，展开高级配置，选择安全策略参数。
单击“确定”。

意见反馈

文档内容是否对您有帮助？

提交成功！非常感谢您的反馈，我们会继续努力做到更好！您可在查看反馈及问题处理状态。

系统繁忙，请稍后重试

在使用文档中是否遇到以下问题

内容与产品页面不一致

内容不易理解

缺失示例代码

步骤不可操作

搜不到想要的内容

缺少最佳实践

意见反馈（选填）

0/500

请至少选择一项反馈信息并填写问题反馈

字符长度不能超过500

如您有其它疑问，您也可以通过华为云社区问答频道来与我们联系探讨