全部產品
Search

搜尋本產品

    Server Load Balancer:管理憑證

    文件中心

    Server Load Balancer:管理憑證

    更新時間:Jun 19, 2024

    在配置ALB單向認證或雙向認證業務時,您需要在阿里雲認證中心購買認證,或者將所需的第三方簽發的伺服器憑證和CA認證上傳至阿里雲認證中心,ALB從認證中心擷取該認證並使用。

    背景資訊

    ALB支援單向認證和雙向認證,請根據您的需要進行選擇。

    • 單向認證:用戶端需要認證服務端,而服務端不需要認證用戶端。配置HTTPS監聽和QUIC監聽時,需要為監聽綁定伺服器憑證。

    • 雙向認證:用戶端需要認證服務端,服務端也需要認證用戶端,需要雙方都通過認證,才能正常請求響應,以確保資料資訊的安全。開啟雙向認證後,為監聽綁定伺服器憑證的同時,還需要綁定CA認證來認證用戶端。

    使用限制

    • 基礎版ALB執行個體不支援雙向認證。

    • QUIC監聽暫不支援雙向認證。

    • HTTP監聽不支援單向認證和雙向認證。

    前提條件

    添加認證

    1. 登入應用型負載平衡ALB控制台

    2. 在頂部功能表列處,選擇執行個體所屬的地區。

    3. 執行個體頁面,找到目標執行個體,單擊執行個體ID。

    4. 選擇以下一種方法,開啟監聽設定精靈。

      • 執行個體頁面,在目標執行個體操作列單擊建立監聽

      • 執行個體頁面,單擊目標執行個體ID。在監聽頁簽,單擊建立監聽

    5. 配置監聽設定精靈,完成以下配置,然後單擊下一步

      本文僅列舉強相關參數,更多資訊,請參見添加HTTPS監聽

      監聽配置

      說明

      選擇監聽協議

      選擇監聽的協議類型。 您可以根據需要選擇HTTPSQUIC

      說明

      • QUIC監聽暫不支援雙向認證。

      • HTTP監聽不支援單向認證和雙向認證。

      本文選擇HTTPS

      監聽連接埠

      輸入用來接收請求並向後端伺服器進行請求轉寄的監聽連接埠,連接埠範圍為1~65535。通常HTTP協議使用80連接埠,HTTPS協議使用443連接埠。

      本文輸入443

      監聽名稱

      輸入自訂監聽名稱。

      進階配置

      單擊修改展開進階配置。

    6. 設定SSL憑證設定精靈,選擇一個伺服器憑證。

      如果沒有可選的伺服器憑證,您可以在下拉框中單擊建立SSL認證進入認證中心,在認證中心購買或上傳伺服器憑證。更多資訊,請參見購買SSL認證上傳SSL認證

    7. 如果您要開啟HTTPS雙向認證或者設定TLS安全性原則,單擊進階配置右側的修改

    8. 開啟進階配置中的啟用雙向認證選擇CA認證來源為阿里雲簽發,在選擇預設CA認證下拉框中選擇一個CA認證。

      如果沒有可選的CA認證,您可以在下拉框中單擊購買CA認證建立新認證。更多資訊,請參見購買及啟用私人CA

      說明

      • 僅標準版和WAF增強版的ALB執行個體支援雙向認證,基礎版ALB執行個體不支援雙向認證。

      • 開啟雙向認證後,如果您後續需要關閉雙向認證,請參考以下步驟。

        1. 執行個體頁面,單擊目標執行個體ID。

        2. 監聽頁簽,單擊目標HTTPS協議監聽ID。

        3. 監聽詳情頁簽,在SSL認證地區關閉雙向認證開關。

    9. 選擇TLS安全性原則,然後單擊下一步

      如果沒有可選的TLS安全性原則,您可以在下拉框中單擊建立TLS安全性原則

      TLS安全性原則包含HTTPS可選的TLS協議版本和配套的密碼編譯演算法套件,更多資訊,請參見TLS安全性原則

    10. 選擇伺服器組設定精靈,選擇伺服器組,查看後端伺服器資訊,然後單擊下一步

    11. 設定審核設定精靈,確認配置資訊,然後單擊提交

    更多操作

    1. 登入應用型負載平衡ALB控制台

    2. 在頂部功能表列處,選擇執行個體所屬的地區。

    3. 執行個體頁面,找到目標執行個體,單擊執行個體ID。

    4. 單擊監聽頁簽,在目標監聽操作列單擊管理憑證

    5. 監聽認證頁簽,您可以根據需要進行如下操作。

      說明

      為避免認證到期對您的服務產生影響,請在認證到期前更換認證。

      認證類別

      操作

      說明

      伺服器憑證

      更換監聽預設伺服器憑證

      1. 伺服器憑證頁簽,找到監聽預設伺服器憑證,在操作列單擊更換

      2. 在彈出的對話方塊,選擇伺服器憑證,單擊確定

        如果沒有可選的伺服器憑證,您可以在下拉框中單擊建立SSL認證進入認證中心,在認證中心購買或上傳伺服器憑證。更多資訊,請參見購買SSL認證上傳SSL認證

      添加伺服器擴充認證

      您可以通過添加擴充認證增加監聽關聯的認證。

      1. 伺服器憑證頁簽,然後單擊添加擴充認證

      2. 添加擴充認證對話方塊中,選擇伺服器憑證,然後單擊確定

        如果沒有可選的伺服器憑證,您可以在右上方單擊購買認證進入認證中心,在認證中心購買或上傳伺服器憑證。更多資訊,請參見購買SSL認證上傳SSL認證

      刪除伺服器擴充認證

      您可以刪除不需要的伺服器擴充認證,刪除後該認證將不再認證後端伺服器。

      1. 伺服器憑證頁簽,找到目標擴充認證,在操作列單擊刪除

      2. 在彈出的對話方塊中,單擊確定刪除

      CA認證

      開啟或關閉雙向認證

      • 開啟雙向認證:如果您建立的監聽從未開啟過雙向認證,您可以通過以下方式開啟雙向認證。

        1. 單擊CA認證頁簽,開啟雙向認證開關或單擊點此開啟雙向認證

        2. 啟用雙向認證對話方塊中,選擇CA認證來源為阿里雲簽發,在選擇預設CA認證下拉框中選擇一個CA認證,然後單擊確定

          如果沒有可選的CA認證,您可以在下拉框中單擊購買CA認證建立新認證。更多資訊,請參見購買及啟用私人CA

      • 關閉雙向認證:如果您建立的監聽開啟過雙向認證,您可以單擊CA認證頁簽,然後關閉雙向認證開關,關閉後該監聽只支援單向認證。

      更換CA認證

      1. 單擊CA認證頁簽,找到監聽預設CA認證,在操作列單擊更換

      2. 更換預設CA認證對話方塊中,選擇CA認證來源為阿里雲簽發,在選擇預設CA認證下拉框中選擇一個CA認證,然後單擊確定

        如果沒有可選的CA認證,您可以在下拉框中單擊購買CA認證建立新認證。更多資訊,請參見購買及啟用私人CA

    相關文檔