为NLB配置TCPSSL监听时,TLS安全策略决定了NLB与客户端进行TLS协商时支持的TLS协议版本和加密算法套件。NLB预置了部分常用的系统默认策略供用户直接选择。对于有定制安全策略的特定需求场景,可以使用自定义TLS安全策略。
工作原理
TLS安全策略配置在NLB侧,用于定义其在TLS协商中支持的TLS协议版本和加密算法套件。在握手过程中,客户端通过Client Hello发送支持的协议版本和加密套件列表,NLB根据策略从列表中选择双方都支持的协议版本和加密套件组合并以Server Hello响应,后续步骤(如密钥交换、会话密钥生成)均基于此方案进行。
系统默认策略
对于面向公网且无特殊兼容性要求的应用,建议使用 tls_cipher_policy_1_2 及以上策略。
控制台
前往NLB控制台的TLS安全策略页面,在系统默认策略页签查看策略的详细信息。
API
调用ListSystemSecurityPolicy接口查询系统默认策略。
自定义策略
创建自定义策略
控制台
-
前往NLB控制台的TLS安全策略页面,选择NLB实例所在地域。
-
单击创建自定义策略,参考以下信息进行配置,配置完成后单击创建。
-
选择最低版本 :如业务无特殊兼容性要求,建议选择 TLS 1.2及以上 保障安全性。
-
启用TLS 1.3版本 :为保障网络通信的安全性与效率,建议在业务兼容的前提下启用。
-
选择加密算法套件:需要与TLS协议版本匹配。
-
-
创建完成后,即可在为监听配置TLS安全策略中选择该自定义策略。
API
调用CreateSecurityPolicy创建自定义策略。注意自定义策略的地域必须与NLB实例的地域保持一致。
更新自定义策略属性
控制台
-
前往NLB控制台的TLS安全策略页面,选择自定义策略的地域。
-
找到目标自定义策略,单击 操作 列的 编辑 ,在编辑TLS安全策略对话框更新TLS协议版本或加密算法套件。
API
调用UpdateSecurityPolicyAttribute更新自定义策略属性。
复制自定义策略到其他地域
控制台
-
前往NLB控制台的TLS安全策略页面,选择自定义策略的地域。
-
找到目标自定义策略,单击操作 列的复制到其他地域,选择目标地域并确定。
API
调用ListSecurityPolicy获取自定义策略的TlsVersion和Ciphers等参数,在调用CreateSecurityPolicy创建自定义策略时传入,注意RegionId字段传入目标地域ID。
删除自定义策略
若自定义策略已被监听使用,请先修改监听的TLS安全策略或删除监听,方可删除自定义策略。
控制台
-
前往NLB控制台的TLS安全策略页面,选择自定义策略的地域。
-
找到目标自定义策略,单击操作列的删除并确定。
API
调用DeleteSecurityPolicy删除自定义策略。
为监听配置TLS安全策略
控制台
-
创建TCPSSL监听时,在配置SSL证书页签选择TLS安全策略;快速创建TCPSSL监听时,在快速创建监听对话框中选择TLS安全策略。
-
修改TLS安全策略 :在实例详情页的监听页签,单击目标TCPSSL监听ID进入监听详情页,在SSL证书区域修改TLS安全策略。
API
调用CreateListener创建TCPSSL监听或调用UpdateListenerAttribute更新TCPSSL监听配置时,SecurityPolicyId字段传入TLS安全策略。
-
可调用ListSystemSecurityPolicy查询系统默认策略的
SecurityPolicyId。 -
可调用ListSecurityPolicy查询自定义策略的
SecurityPolicyId。
计费说明
TLS安全策略本身不产生任何费用。购买和使用NLB实例将产生费用,详见NLB计费规则。
应用于生产环境
-
后端流量安全:客户端与NLB之间流量进行TCPSSL加密,但NLB与后端服务器之间的流量默认是明文的。为确保端到端安全,应将NLB和后端服务器部署在同一 VPC 内,并通过安全组等策略严格限制访问。
-
TLS协议版本:如应用无特殊兼容性要求,建议使用TLS 1.2和TLS 1.3保障安全性。
-
变更回滚:调整TLS安全策略后,若出现异常,可立即通过修改监听配置回滚。建议在业务低峰期进行变更。
TLS加密算法套件名称对照表
下表提供了各加密算法套件在OpenSSL格式、IANA标准格式和十六进制之间的对照关系。