在配置ALB监听时,您可以在阿里云证书中心购买证书,或者将所需的第三方签发的服务器证书和CA证书上传至阿里云证书中心,ALB从证书中心获取该证书并使用。
背景信息
ALB支持单向认证和双向认证,请根据您的需要进行选择。
-
单向认证:客户端需要认证服务端,而服务端不需要认证客户端。配置HTTPS监听和QUIC监听时,需要为监听绑定服务器证书。
-
双向认证:客户端需要认证服务端,服务端也需要认证客户端,需要双方都通过认证,才能正常请求响应,以确保数据信息的安全。开启双向认证后,为监听绑定服务器证书的同时,还需要绑定CA证书来认证客户端。
使用限制
-
基础版ALB实例不支持双向认证。
-
QUIC监听暂不支持双向认证。
-
HTTP监听不支持单向认证和双向认证。
前提条件
-
您已经创建标准版或WAF增强版的ALB实例,具体操作,请参见创建应用型负载均衡。
-
您已经创建可用的后端服务器组。具体操作,请参见创建和管理服务器组。
-
您已在证书中心购买或上传服务器证书。具体操作,请参见购买SSL证书和上传SSL证书。
-
您已在证书中心购买并启用子CA证书,且私有子CA的证书剩余数量不为0;或已上传自签名根CA或自签名子根CA证书至证书中心。具体操作,请参见购买及启用私有CA和上传三方私有证书。
添加证书
- 登录应用型负载均衡ALB控制台。
-
在顶部菜单栏处,选择实例所属的地域。
-
在实例页面,找到目标实例,单击实例ID。
-
选择以下一种方法,打开监听配置向导。
-
在实例页面,在目标实例操作列单击创建监听。
-
在实例页面,单击目标实例ID。在监听页签,单击创建监听。
-
-
在配置监听配置向导,完成以下配置,然后单击下一步。
本文仅列举强相关参数,更多信息,请参见添加HTTPS监听。
监听配置
说明
选择负载均衡协议
选择监听的协议类型。 您可以根据需要选择HTTPS或QUIC。
说明
-
QUIC监听暂不支持双向认证。
-
HTTP监听不支持单向认证和双向认证。
本文选择HTTPS。
监听端口
输入用来接收请求并向后端服务器进行请求转发的监听端口,端口范围为1~65535。通常HTTP协议使用80端口,HTTPS协议使用443端口。
本文输入443。
监听名称
输入自定义监听名称。
高级配置
单击修改展开高级配置。
-
-
在配置SSL证书配置向导,选择一个服务器证书。
如果没有可选的服务器证书,您可以在下拉框中单击创建SSL证书进入证书中心,在证书中心购买或上传服务器证书。更多信息,请参见购买SSL证书和上传SSL证书。
-
如果您要开启HTTPS双向认证或者设置TLS安全策略,单击高级配置右侧的修改。
-
开启高级配置中的启用双向认证。
-
选择CA证书来源为阿里云签发,在选择默认CA证书下拉框中选择一个CA证书。
如果没有可选的CA证书,您可以在下拉框中单击购买CA证书创建新证书。更多信息,请参见购买及启用私有CA。
-
选择CA证书来源为非阿里云签发,在选择默认CA证书下拉框中选择一个CA证书。
如果没有可选的自签名CA证书,您可以在下拉框中单击上传自签CA证书,在证书仓库页面,创建数据来源为上传证书的仓库,然后通过证书应用仓库上传自签名根CA或自签名子根CA证书。更多信息,请参见上传三方私有证书。
说明
-
仅标准版和WAF增强版的ALB实例支持双向认证,基础版ALB实例不支持双向认证。
-
开启双向认证后,如果您后续需要关闭双向认证,请参考以下步骤。
-
在实例页面,单击目标实例ID。
-
在监听页签,单击目标HTTPS协议监听ID。
-
在监听详情页签,在SSL证书区域关闭双向认证开关。
-
-
-
选择TLS安全策略,然后单击下一步。
如果没有可选的TLS安全策略,您可以在下拉框中单击创建TLS安全策略。更多信息,请参见TLS安全策略。
-
在选择服务器组配置向导,选择服务器类型及服务器类型下的后端服务器组,查看后端服务器信息,然后单击下一步。
-
在配置审核配置向导,确认配置信息,然后单击提交。
更多操作
- 登录应用型负载均衡ALB控制台。
-
在顶部菜单栏处,选择实例所属的地域。
-
在实例页面,找到目标实例,单击实例ID。
-
单击监听页签,在目标监听操作列单击管理证书。
-
在监听证书页签,您可以根据需要进行如下操作。
说明
为避免证书过期对您的服务影响,请在证书过期前更换证书。
证书类别
操作
说明
服务器证书
更换监听默认服务器证书
-
在服务器证书页签,找到监听默认服务器证书,在操作列单击更换。
-
在弹出的对话框,选择服务器证书,单击确定。
如果没有可选的服务器证书,您可以在下拉框中单击创建SSL证书进入证书中心,在证书中心购买或上传服务器证书。更多信息,请参见购买SSL证书和上传SSL证书。
添加服务器扩展证书
您可以通过添加扩展证书增加监听关联的证书。
-
在服务器证书页签,然后单击添加扩展证书。
-
在添加扩展证书对话框中,选择服务器证书,然后单击确定。
如果没有可选的服务器证书,您可以在右上角单击购买证书进入证书中心,在证书中心购买或上传服务器证书。更多信息,请参见购买SSL证书和上传SSL证书。
删除服务器扩展证书
您可以删除不需要的服务器扩展证书,删除后该证书将不再认证后端服务器。
-
在服务器证书页签,找到目标扩展证书,在操作列单击删除。
-
在弹出的对话框中,单击确定删除。
CA证书
开启或关闭双向认证
-
开启双向认证:如果您创建的监听从未开启过双向认证,您可以通过以下方式开启双向认证。
-
单击CA证书页签,打开双向认证开关或单击点此开启双向认证。
-
在启用双向认证对话框中,根据业务选择以下任一步骤完成操作。
-
选择CA证书来源为阿里云签发,在选择默认CA证书下拉框中选择一个CA证书,然后单击确定。
如果没有可选的CA证书,您可以在下拉框中单击购买CA证书创建新证书。更多信息,请参见购买及启用私有CA。
-
选择CA证书来源为非阿里云签发,在选择默认CA证书下拉框中选择一个CA证书,然后单击确定。
如果没有可选的自签名CA证书,您可以在下拉框中单击上传自签CA证书,在证书仓库页面,创建数据来源为上传证书的仓库,然后通过证书应用仓库上传自签名根CA或自签名子根CA证书。更多信息,请参见上传三方私有证书。
-
-
-
关闭双向认证:如果您创建的监听开启过双向认证,您可以单击CA证书页签,然后关闭双向认证开关,关闭后该监听只支持单向认证。
更换CA证书
-
单击CA证书页签,找到监听默认CA证书,在操作列单击更换。
-
在更换默认CA证书对话框中,根据业务选择以下任一步骤完成操作。
-
选择CA证书来源为阿里云签发,在选择默认CA证书下拉框中选择一个CA证书,然后单击确定。
如果没有可选的CA证书,您可以在下拉框中单击购买CA证书创建新证书。更多信息,请参见购买及启用私有CA。
-
选择CA证书来源为非阿里云签发,在选择默认CA证书下拉框中选择一个CA证书,然后单击确定。
如果没有可选的自签名CA证书,您可以在下拉框中单击上传自签CA证书,在证书仓库页面,创建数据来源为上传证书的仓库,然后通过证书应用仓库上传自签名根CA或自签名子根CA证书。更多信息,请参见上传三方私有证书。
-
-
相关文档
-
教程类:
-
单ALB实例配置多域名HTTPS网站(HTTPS多域名)
-
使用ALB部署HTTPS业务(双向认证)
-
配置全链路HTTPS访问实现加密通信
-
-
API类:
-
CreateListener:创建HTTP、HTTPS或QUIC监听。
-
AssociateAdditionalCertificatesWithListener:为HTTPS和QUIC监听添加扩展证书。
-
DissociateAdditionalCertificatesFromListener:从HTTPS和QUIC监听移除扩展证书。
-
内容没看懂? 不太想学习?想快速解决? 有偿解决: 联系专家
阿里云企业补贴进行中: 马上申请
腾讯云限时活动1折起,即将结束: 马上收藏
同尘科技为腾讯云授权服务中心。
购买腾讯云产品享受折上折,更有现金返利:同意关联,立享优惠
转转请注明出处:https://www.yunxiaoer.com/169295.html
