如何使用 AWS 负载均衡器在 Windows 服务器 2019 上启用 Cipher TLS_ECDHE_ECDSA

Question

该网站位于 Windows 服务器 2019，AWS 负载均衡器和 ELB SecurityPolicy-2016-08。 此策略肯定启用了 ECDHE_ECDSA 密码。 我检查了他们的文档。 LB 上安装了 SSL 证书。

在 PowerShell Windows server 2019 中运行 TLS Cipher Suites 也显示这些套装已启用，但在使用 SSLLabs 或 Zenmap 运行网站域时。 这些套房没有出现

TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

甚至这些：

TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

有任何想法吗？ 该网站是 ASP.NetFramework 4.7。 但我几乎不认为它与密码有任何关系。 任何帮助将不胜感激。 谢谢

禅图快照

AWS 负载均衡器快照

PowerShell 快照

Answer 1

Meta：这与编程无关，我不确定“如何操作云”是否算作开发，所以如果这被选为离题，我授权删除。

您的服务器无关紧要，您在其上设置或更改的任何内容都不会影响客户端。

您没有告诉我们您使用的是哪个 AWS 负载均衡器，但要达到 HTTPS 级别，它必须是应用程序或经典，并且在任何一种情况下执行 HTTPS 都必须终止 SSL/TLS 协议——换句话说，LB 建立一个与客户端的 SSL/TLS 连接并解密传入的请求，解析它，然后可选地使用单独的 SSL/TLS 连接到后端重新加密，并在响应中反转过程：必要时从后端解密并重新-加密到客户端。 请参阅该页面表格下方的“SSL 卸载”行； 这是一种行话方式，表示“LB 为客户端执行 SSL/TLS，而您的服务器没有”。

因此，LB 中的设置仅控制客户端看到的 SSL/TLS。 默认的 ELBSecurityPolicy-2016-08 （我猜这可能是你使用它的原因）排除了所有 DHE-RSA 密码套件。 （为避免混淆，请注意 AWS 网页使用 OpenSSL 名称作为密码套件，名称中省略了 RSA-only keyexchange，而 Zenmap/nmap 使用 RFC 名称 TLS_RSA_with_whatever。）它确实允许ECDHE_ECDSA 套件，但实际上会协商这些套件，因此只有当你配置了 ECDSA 证书和密钥时，才会被像 Zenmap/nmap 这样的扫描仪看到——我敢打赌你没有。