在配置TCPSSL監聽時,您需要在阿里雲認證中心購買認證,或者將所需的第三方簽發的伺服器憑證和CA認證上傳至阿里雲認證中心,NLB從認證中心擷取認證並使用。
背景資訊
NLB支援單向認證和雙向認證,請根據您的需要進行選擇。
單向認證:用戶端需要證明伺服器端,而伺服器端不需要認證用戶端。用戶端從伺服器端請求伺服器端密鑰憑證進行驗證,然後建立安全通訊通道。配置TCPSSL監聽時,需要為監聽綁定伺服器憑證。
雙向認證:用戶端需要從伺服器端請求伺服器的密鑰憑證進行驗證,同時還需要把用戶端的密鑰憑證上傳至伺服器端進行驗證,雙方都通過認證,才能建立安全通訊通道進行資料轉送。開啟雙向認證後,為監聽綁定伺服器憑證的同時,還需要綁定CA認證來認證用戶端。
如果您有多網域名稱訪問或掛載多個伺服器憑證的需求,配置完TCPSSL監聽後,您可以選擇為該TCPSSL監聽添加擴充認證。具體操作,請參見本文更多操作。
前提條件
您已經建立NLB執行個體。具體操作,請參見建立和管理NLB執行個體。
您已經建立可用的後端伺服器組。具體操作,請參見建立和管理伺服器組。
準備用戶端認證。您已在認證中心購買並啟用子CA認證,且私人子CA的認證剩餘數量不為0。具體操作,請參見購買及啟用私人CA。
添加認證
- 登入網路型負載平衡NLB控制台。
在頂部功能表列,選擇NLB執行個體所屬的地區。
在執行個體頁面,找到目標執行個體,選擇以下一種方法,開啟監聽設定精靈。
在操作列單擊建立監聽。
單擊執行個體ID,然後單擊監聽頁簽,在監聽頁簽,單擊監聽列表上方的建立監聽。
單擊執行個體ID,在執行個體詳情頁單擊設定精靈中的建立監聽。
單擊執行個體ID,在執行個體詳情頁的右上方單擊建立監聽。
在配置監聽設定精靈頁面,完成參數的配置,然後單擊下一步。
此處僅列出和添加認證強相關的參數,其餘參數的配置請參見建立TCPSSL監聽。
選擇監聽協議:本文選擇TCPSSL。
在配置SSL認證設定精靈頁面,在選擇伺服器憑證下拉框中選擇一個伺服器憑證。
可選:開啟進階配置中的啟用雙向認證。選擇CA認證來源為阿里雲簽發,在選擇預設CA認證下拉框中選擇一個CA認證。
單向認證無需執行該步驟。
如果沒有可選的CA認證,您可以在下拉框中單擊購買CA認證建立新認證。更多資訊,請參見購買及啟用私人CA。
說明開啟雙向認證後,如果您後續需要關閉雙向認證,請參考以下步驟。
在執行個體頁面,單擊目標執行個體ID。
在監聽頁簽,單擊目標TCPSSL協議監聽ID。
在監聽詳情頁簽,在SSL認證地區關閉雙向認證開關。
選擇TLS安全性原則,單擊下一步。
如果沒有可選的TLS安全性原則,您可以在下拉框中單擊建立TLS安全性原則。更多資訊,請參見TLS安全性原則。
在選擇伺服器組設定精靈頁面,選擇伺服器類型及伺服器類型下的後端伺服器組,查看後端伺服器資訊,然後單擊下一步。
在組態稽核設定精靈頁面,確認配置資訊,單擊提交。
更多操作
- 登入網路型負載平衡NLB控制台。
在頂部功能表列,選擇NLB執行個體所屬的地區。
在執行個體頁面,找到目標NLB執行個體,單擊執行個體ID。
在執行個體詳情頁面,單擊監聽頁簽,找到目標TCPSSL監聽,選擇以下一種方式管理憑證。
在操作列單擊管理憑證。
單擊監聽ID,在監聽詳情頁簽的SSL認證地區,單擊管理憑證。
在監聽認證頁簽,執行以下操作管理憑證。
說明為避免認證到期對您的服務影響,請在認證到期前更換認證。
認證類別
操作
說明
伺服器憑證
更換監聽預設伺服器憑證
添加擴充認證
您可以通過添加擴充認證增加監聽關聯的認證。每個執行個體最多支援添加25個擴充認證,單次最多支援添加15個擴充認證。
刪除擴充認證
您可以刪除不需要的伺服器擴充認證,刪除後該認證將不再認證後端伺服器。
在伺服器憑證頁簽,找到目標擴充認證,在操作列單擊刪除。
在彈出的對話方塊中,單擊確定刪除。
CA認證
開啟雙向認證
單擊CA認證頁簽,開啟雙向認證開關或者單擊點此開啟雙向認證。
說明您也可以在監聽詳情頁簽的SSL認證地區,開啟雙向認證。
在彈出的對話方塊中,完成選擇預設CA認證參數的配置,然後單擊確定。
如果沒有可用的CA認證,您可以在認證下拉框中單擊購買認證建立新認證。更多資訊,請參見購買及啟用私人CA。
更換CA認證
單擊CA認證頁簽,找到目標認證,在操作列單擊更換。
在彈出的對話方塊中,完成選擇預設CA認證參數的配置,然後單擊確定。
如果沒有可用的CA認證,您可以在認證下拉框中單擊購買認證建立新認證。更多資訊,請參見購買及啟用私人CA。
關閉雙向認證
單擊CA認證頁簽,然後關閉雙向認證開關,關閉後該監聽只支援單向認證。
相關文檔
教程類:
如果您需要在流量入口部署NLB並配置SSL認證,實現TCPSSL卸載(單向認證),請參見通過NLB實現TCPSSL卸載(單向認證)。
如果您需要在流量入口部署NLB並配置SSL認證和CA認證,實現TCPSSL卸載(雙向認證),請參見通過NLB實現TCPSSL卸載(雙向認證)。
API類:
CreateListener:建立TCPSSL監聽。
AssociateAdditionalCertificatesWithListener:為TCPSSL監聽添加擴充認證。
DisassociateAdditionalCertificatesWithListener:從TCPSSL監聽移除擴充認證。