使用者在阿里雲上部署的網站或應用程式對互連網提供服務時,通常會配置HTTPS加密以確保資料的安全傳輸。針對HTTPS情境,ALB預置了部分常用的TLS安全性原則以滿足通用需求,但當您有特定的安全或合規需求時,例如需要僅支援特定版本的TLS協議、禁用某些密碼編譯演算法套件等,您可在ALB自訂TLS安全性原則並配置到監聽中,從而進一步提升業務的安全性。
使用限制
基礎版ALB執行個體不支援自訂TLS安全性原則,僅標準版、WAF增強版ALB執行個體支援自訂TLS安全性原則。基礎版執行個體如需使用該功能,需要升級ALB執行個體版本,可參考ALB執行個體變更配置。
當您自訂TLS安全性原則選擇特定版本的TLS協議、特定的密碼編譯演算法套件時,需要確保用戶端(例如瀏覽器)同時支援對應協議與密碼編譯演算法套件,否則有可能導致用戶端與服務端建立串連失敗從而影響使用者正常訪問。
前提條件
步驟一:建立自訂TLS安全性原則
在頂部功能表列,選擇執行個體所屬的地區。
在左側導覽列,選擇TLS安全性原則。
單擊自訂策略頁簽下的建立自訂策略。
根據您的業務需求填寫對應的安全性原則名稱,選擇TLS協議最低版本、密碼編譯演算法套件等資訊,參數詳細介紹可參考TLS安全性原則。完成後單擊建立。
步驟二:在HTTPS監聽中應用自訂TLS安全性原則
建立HTTPS監聽
在頂部功能表列,選擇執行個體所屬的地區。
在左側導覽列,選擇執行個體。
在執行個體頁面,找到目標執行個體,然後在操作列單擊建立監聽。
在配置監聽頁面配置以下資訊,其他參數可保持預設值或根據實際情況修改。完成後單擊下一步。
配置
說明
選擇監聽協議
選擇HTTPS。
監聽連接埠
本文配置連接埠443。
在配置SSL認證頁面配置以下資訊,其他參數可保持預設值或根據實際情況修改。完成後單擊下一步。
配置
說明
選擇伺服器憑證
選擇準備的伺服器憑證。
TLS安全性原則
選擇步驟一建立的自訂策略。
在選擇伺服器組頁面配置以下資訊,其他參數可保持預設值或根據實際情況修改。完成後單擊下一步。
配置
說明
選擇伺服器組
選擇此前已建立好的伺服器組。
在組態稽核頁面,檢查配置參數是否有誤,無誤的話單擊提交,等待監聽建立完成。
已有HTTPS監聽
在頂部功能表列,選擇執行個體所屬的地區。
在左側導覽列,選擇執行個體。
在執行個體頁面,找到目標執行個體,然後單擊執行個體ID。
在監聽頁簽,找到目標HTTPS監聽,然後單擊監聽ID。
在SSL認證地區,單擊TLS安全性原則後的表徵圖。
在編輯TLS安全性原則對話方塊,選擇已建立的自訂TLS安全性原則,然後單擊儲存。
步驟三:佈建網域名解析
在頂部功能表列選擇地區。
選擇要進行網域名稱解析的ALB執行個體,複製其對應的DNS名稱。
完成以下步驟來添加CNAME解析記錄。
登入網域名稱解析控制台。
在網域名稱解析頁面單擊添加網域名稱。
在添加網域名稱對話方塊中輸入您的主機網域名稱,然後單擊確認。
重要您的主機網域名稱需已完成TXT記錄驗證。
在目標網域名稱的操作列單擊解析設定。
在解析設定頁面單擊添加記錄。
在添加記錄面板配置以下資訊完成CNAME解析配置,然後單擊確認。
配置
說明
記錄類型
在下拉式清單中選擇CNAME。
主機記錄
您的網域名稱的首碼,例如
www
。解析請求來源
選擇預設。
記錄值
輸入欄位名對應的CNAME地址,即您複製的ALB執行個體的DNS名稱。
TTL
全稱Time To Live,表示DNS記錄在DNS伺服器上的緩衝時間,本文使用預設值。
步驟四:結果驗證
在瀏覽器中輸入ALB對應綁定的網域名稱,並多次重新整理頁面,您可以看到請求正通過HTTPS協議訪問後端服務,且請求在兩台ECS之間轉換。
相關文檔
添加HTTPS監聽操作詳細資料和注意事項,可參考添加HTTPS監聽。
TLS安全性原則詳情、系統預設策略、預設策略差異等資訊可參考TLS安全性原則。
當您需要在同一個監聽中將不同網域名稱的HTTPS訪問請求轉寄至不同的後端伺服器,您可參考單ALB執行個體配置多網域名稱HTTPS網站實現多網域名稱HTTPS網站。
如果您想實現用戶端到ALB、ALB到後端伺服器之間的全鏈路加密通訊,提升敏感業務的安全性,您可參考配置全鏈路HTTPS訪問實現加密通訊。
當您在處理一些關鍵業務時,希望使用HTTPS雙向認證,通過對用戶端服務端通訊雙方做認證,為您的業務提供更高的安全性,您可參考使用ALB部署HTTPS業務(雙向認證)。