全部產品
Search
文件中心

Server Load Balancer:管理憑證

更新時間:Jun 19, 2024

在配置TCPSSL監聽時,您需要在阿里雲認證中心購買認證,或者將所需的第三方簽發的伺服器憑證和CA認證上傳至阿里雲認證中心,NLB從認證中心擷取認證並使用。

背景資訊

NLB支援單向認證和雙向認證,請根據您的需要進行選擇。

  • 單向認證:用戶端需要證明伺服器端,而伺服器端不需要認證用戶端。用戶端從伺服器端請求伺服器端密鑰憑證進行驗證,然後建立安全通訊通道。配置TCPSSL監聽時,需要為監聽綁定伺服器憑證。

  • 雙向認證:用戶端需要從伺服器端請求伺服器的密鑰憑證進行驗證,同時還需要把用戶端的密鑰憑證上傳至伺服器端進行驗證,雙方都通過認證,才能建立安全通訊通道進行資料轉送。開啟雙向認證後,為監聽綁定伺服器憑證的同時,還需要綁定CA認證來認證用戶端。

說明

如果您有多網域名稱訪問或掛載多個伺服器憑證的需求,配置完TCPSSL監聽後,您可以選擇為該TCPSSL監聽添加擴充認證。具體操作,請參見本文更多操作

前提條件

添加認證

  1. 登入網路型負載平衡NLB控制台
  2. 在頂部功能表列,選擇NLB執行個體所屬的地區。

  3. 執行個體頁面,找到目標執行個體,選擇以下一種方法,開啟監聽設定精靈。

    • 操作列單擊建立監聽

    • 單擊執行個體ID,然後單擊監聽頁簽,在監聽頁簽,單擊監聽列表上方的建立監聽

    • 單擊執行個體ID,在執行個體詳情頁單擊設定精靈中的建立監聽

    • 單擊執行個體ID,在執行個體詳情頁的右上方單擊建立監聽

  4. 配置監聽設定精靈頁面,完成參數的配置,然後單擊下一步

    此處僅列出和添加認證強相關的參數,其餘參數的配置請參見建立TCPSSL監聽

    選擇監聽協議:本文選擇TCPSSL

  5. 配置SSL認證設定精靈頁面,在選擇伺服器憑證下拉框中選擇一個伺服器憑證。

    如果沒有可選的伺服器憑證,您可以在下拉框中單擊建立認證進入認證中心,在認證中心購買或上傳伺服器憑證。更多資訊,請參見購買SSL認證上傳認證

  6. 可選:開啟進階配置中的啟用雙向認證選擇CA認證來源為阿里雲簽發,在選擇預設CA認證下拉框中選擇一個CA認證。

    單向認證無需執行該步驟。

    如果沒有可選的CA認證,您可以在下拉框中單擊購買CA認證建立新認證。更多資訊,請參見購買及啟用私人CA

    說明

    開啟雙向認證後,如果您後續需要關閉雙向認證,請參考以下步驟。

    1. 執行個體頁面,單擊目標執行個體ID。

    2. 監聽頁簽,單擊目標TCPSSL協議監聽ID。

    3. 監聽詳情頁簽,在SSL認證地區關閉雙向認證開關。

  7. 選擇TLS安全性原則,單擊下一步

    如果沒有可選的TLS安全性原則,您可以在下拉框中單擊建立TLS安全性原則。更多資訊,請參見TLS安全性原則

  8. 選擇伺服器組設定精靈頁面,選擇伺服器類型伺服器類型下的後端伺服器組,查看後端伺服器資訊,然後單擊下一步

  9. 組態稽核設定精靈頁面,確認配置資訊,單擊提交

更多操作

  1. 登入網路型負載平衡NLB控制台
  2. 在頂部功能表列,選擇NLB執行個體所屬的地區。

  3. 執行個體頁面,找到目標NLB執行個體,單擊執行個體ID。

  4. 執行個體詳情頁面,單擊監聽頁簽,找到目標TCPSSL監聽,選擇以下一種方式管理憑證。

    • 操作列單擊管理憑證

    • 單擊監聽ID,在監聽詳情頁簽的SSL認證地區,單擊管理憑證

  5. 監聽認證頁簽,執行以下操作管理憑證。

    說明

    為避免認證到期對您的服務影響,請在認證到期前更換認證。

    認證類別

    操作

    說明

    伺服器憑證

    更換監聽預設伺服器憑證

    1. 伺服器憑證頁簽,找到目標認證,在操作列單擊更換

    2. 在彈出的對話方塊中,選擇一個伺服器憑證,然後單擊確定

      如果沒有可用的伺服器憑證,您可以在認證下拉框中單擊建立SSL認證進入認證中心,在認證中心購買或上傳伺服器憑證。更多資訊,請參見購買SSL認證上傳認證

    添加擴充認證

    您可以通過添加擴充認證增加監聽關聯的認證。每個執行個體最多支援添加25個擴充認證,單次最多支援添加15個擴充認證。

    1. 伺服器憑證頁簽,然後單擊添加擴充認證

    2. 添加擴充認證對話方塊中,選擇單個或多個伺服器憑證,然後單擊確定

      如果沒有可選的伺服器憑證,您可以在右上方單擊購買認證進入認證中心,在認證中心購買或上傳伺服器憑證。更多資訊,請參見購買SSL認證上傳認證

    刪除擴充認證

    您可以刪除不需要的伺服器擴充認證,刪除後該認證將不再認證後端伺服器。

    1. 伺服器憑證頁簽,找到目標擴充認證,在操作列單擊刪除

    2. 在彈出的對話方塊中,單擊確定刪除

    CA認證

    開啟雙向認證

    1. 單擊CA認證頁簽,開啟雙向認證開關或者單擊點此開啟雙向認證

      說明

      您也可以在監聽詳情頁簽的SSL認證地區,開啟雙向認證。

    2. 在彈出的對話方塊中,完成選擇預設CA認證參數的配置,然後單擊確定

      如果沒有可用的CA認證,您可以在認證下拉框中單擊購買認證建立新認證。更多資訊,請參見購買及啟用私人CA

    更換CA認證

    1. 單擊CA認證頁簽,找到目標認證,在操作列單擊更換

    2. 在彈出的對話方塊中,完成選擇預設CA認證參數的配置,然後單擊確定

      如果沒有可用的CA認證,您可以在認證下拉框中單擊購買認證建立新認證。更多資訊,請參見購買及啟用私人CA

    關閉雙向認證

    單擊CA認證頁簽,然後關閉雙向認證開關,關閉後該監聽只支援單向認證。

相關文檔