全部產品
Search
文件中心

Server Load Balancer:ALB通過自訂TLS安全性原則提升網站安全等級

更新時間:Jun 19, 2024

使用者在阿里雲上部署的網站或應用程式對互連網提供服務時,通常會配置HTTPS加密以確保資料的安全傳輸。針對HTTPS情境,ALB預置了部分常用的TLS安全性原則以滿足通用需求,但當您有特定的安全或合規需求時,例如需要僅支援特定版本的TLS協議、禁用某些密碼編譯演算法套件等,您可在ALB自訂TLS安全性原則並配置到監聽中,從而進一步提升業務的安全性。

使用限制

  • 基礎版ALB執行個體不支援自訂TLS安全性原則,僅標準版、WAF增強版ALB執行個體支援自訂TLS安全性原則。基礎版執行個體如需使用該功能,需要升級ALB執行個體版本,可參考ALB執行個體變更配置

  • 當您自訂TLS安全性原則選擇特定版本的TLS協議、特定的密碼編譯演算法套件時,需要確保用戶端(例如瀏覽器)同時支援對應協議與密碼編譯演算法套件,否則有可能導致用戶端與服務端建立串連失敗從而影響使用者正常訪問。

前提條件

步驟一:建立自訂TLS安全性原則

  1. 登入應用型負載平衡ALB控制台

  2. 在頂部功能表列,選擇執行個體所屬的地區。

  3. 在左側導覽列,選擇TLS安全性原則

  4. 單擊自訂策略頁簽下的建立自訂策略

  5. 根據您的業務需求填寫對應的安全性原則名稱,選擇TLS協議最低版本、密碼編譯演算法套件等資訊,參數詳細介紹可參考TLS安全性原則。完成後單擊建立

步驟二:在HTTPS監聽中應用自訂TLS安全性原則

建立HTTPS監聽

  1. 登入應用型負載平衡ALB控制台

  2. 在頂部功能表列,選擇執行個體所屬的地區。

  3. 在左側導覽列,選擇執行個體

  4. 執行個體頁面,找到目標執行個體,然後在操作列單擊建立監聽

  5. 配置監聽頁面配置以下資訊,其他參數可保持預設值或根據實際情況修改。完成後單擊下一步

    配置

    說明

    選擇監聽協議

    選擇HTTPS

    監聽連接埠

    本文配置連接埠443。

  6. 配置SSL認證頁面配置以下資訊,其他參數可保持預設值或根據實際情況修改。完成後單擊下一步

    配置

    說明

    選擇伺服器憑證

    選擇準備的伺服器憑證。

    TLS安全性原則

    選擇步驟一建立的自訂策略。

  7. 選擇伺服器組頁面配置以下資訊,其他參數可保持預設值或根據實際情況修改。完成後單擊下一步

    配置

    說明

    選擇伺服器組

    選擇此前已建立好的伺服器組。

  8. 組態稽核頁面,檢查配置參數是否有誤,無誤的話單擊提交,等待監聽建立完成。

已有HTTPS監聽

  1. 登入應用型負載平衡ALB控制台

  2. 在頂部功能表列,選擇執行個體所屬的地區。

  3. 在左側導覽列,選擇執行個體

  4. 執行個體頁面,找到目標執行個體,然後單擊執行個體ID。

  5. 監聽頁簽,找到目標HTTPS監聽,然後單擊監聽ID。

  6. SSL認證地區,單擊TLS安全性原則後的編輯表徵圖。

  7. 編輯TLS安全性原則對話方塊,選擇已建立的自訂TLS安全性原則,然後單擊儲存

步驟三:佈建網域名解析

  1. 登入應用型負載平衡ALB控制台

  2. 在頂部功能表列選擇地區。

  3. 選擇要進行網域名稱解析的ALB執行個體,複製其對應的DNS名稱。

  4. 完成以下步驟來添加CNAME解析記錄。

    1. 登入網域名稱解析控制台

    2. 網域名稱解析頁面單擊添加網域名稱

    3. 添加網域名稱對話方塊中輸入您的主機網域名稱,然後單擊確認

      重要

      您的主機網域名稱需已完成TXT記錄驗證。

    4. 在目標網域名稱的操作列單擊解析設定

    5. 解析設定頁面單擊添加記錄

    6. 添加記錄面板配置以下資訊完成CNAME解析配置,然後單擊確認

      配置

      說明

      記錄類型

      在下拉式清單中選擇CNAME

      主機記錄

      您的網域名稱的首碼,例如www

      解析請求來源

      選擇預設。

      記錄值

      輸入欄位名對應的CNAME地址,即您複製的ALB執行個體的DNS名稱。

      TTL

      全稱Time To Live,表示DNS記錄在DNS伺服器上的緩衝時間,本文使用預設值。

步驟四:結果驗證

在瀏覽器中輸入ALB對應綁定的網域名稱,並多次重新整理頁面,您可以看到請求正通過HTTPS協議訪問後端服務,且請求在兩台ECS之間轉換。

ECS01ECS02

相關文檔