负载均衡：使用ALB部署HTTPS业务（双向认证）

背景信息

• HTTPS单向认证：客户端需要认证服务器端，而服务器端不需要认证客户端。客户端从服务器端下载服务器端公钥证书进行验证，然后建立安全通信通道。

• HTTPS双向认证：客户端需要从服务器端下载服务器的公钥证书进行验证，同时还需要把客户端的公钥证书上传到服务器端进行验证，双方都通过认证，才能建立安全通信通道进行数据传输。因此双向认证可以为业务提供更高的安全性。

使用限制

仅标准版和WAF增强版的ALB实例支持双向认证，基础版ALB实例不支持双向认证。

前提条件

• 您已创建了标准版或WAF增强版的ALB实例。具体操作，请参见创建应用型负载均衡。

  说明

  基础版的ALB实例不支持双向认证。

• 您已创建专有网络VPC1，具体操作，请参见创建和管理专有网络。

• 您已在VPC1中创建2台ECS实例。ECS01和ECS02实例作为ALB实例的后端服务器，且ECS01和ECS02实例中部署了应用服务。

  • 关于创建ECS实例，请参见自定义购买实例。

  • 本文ECS01和ECS02部署测试应用示例如下：

    ECS01服务部署命令

    yum install -y nginx
    systemctl start nginx.service
    cd /usr/share/nginx/html/
    echo "Hello World ! This is ECS01." > index.html
    

    ECS02服务部署命令

    yum install -y nginx
    systemctl start nginx.service
    cd /usr/share/nginx/html/
    echo "Hello World ! This is ECS02." > index.html
    

• 您已创建了后端服务器组RS，并添加了ECS01和ECS02作为后端服务器。具体操作，请参见创建和管理服务器组。

• 您已在证书中心购买或上传服务器证书。具体操作，请参见购买SSL证书和上传SSL证书。

• 您已在证书中心购买并启用子CA证书，且私有子CA的证书剩余数量不为0。具体操作，请参见购买及启用私有CA。

配置步骤

步骤一：购买服务器证书

您可以从阿里云数字证书管理服务控制台购买、上传服务器证书或者在其他服务商处购买服务器证书。您可以通过浏览器检查服务器发送的证书是否是由自己信赖的中心签发的。

步骤二：准备客户端证书

1. 登录数字证书管理服务控制台。

2. 在左侧导航栏，单击私有证书。

3. 在私有证书页面，单击私有CA页签，找到目标根CA证书。

4. 单击目标根CA证书前的图标，找到目标私有子CA，在操作列单击申请证书。

5. 在申请证书面板，完成以下证书信息配置，然后单击确认申请。

   此处仅列出和本文强相关的配置项。关于申请证书的更多操作，请参见管理私有证书。

   参数	说明
   证书类型	选择私有证书的证书类型。本文选择客户端证书。
   姓名	私有证书主体的通用名称。 本文填写已创建的ALB实例的域名。
   有效期	私有证书的有效期。该有效期不能超过您购买的PCA服务的时长。 本文默认30天。

   提交证书申请后，证书会立即签发。您可以在目标私有子CA操作列单击证书列表，在证书列表页面查看已签发的证书信息。

步骤三：导出客户端证书

如果您已通过控制台购买了客户端证书，并需要通过该客户端证书进行双向认证，请执行以下操作导出客户端证书。

1. 登录数字证书管理服务控制台。

2. 在左侧导航栏，单击私有证书。

3. 在私有证书页面，单击私有CA页签，找到目标根CA证书。

4. 单击目标根CA证书前的图标，找到目标子CA证书，在操作列单击证书列表。

5. 在证书列表页面，找到目标客户端证书，在操作列单击下载，证书格式选择浏览器可以识别的PFX格式。下载的证书文件中，包括.pfx后缀的客户端证书文件以及.txt后缀的客户端私钥加密密码。

步骤四：安装客户端证书

将生成的客户端证书安装到客户端。

以Windows系统为例，双击客户端证书，根据系统证书导入向导提示完成客户端证书安装。

步骤五：配置HTTPS双向认证监听

1. 登录应用型负载均衡ALB控制台。

2. 在顶部菜单栏，选择ALB实例所属的地域。

3. 在实例页面，找到目标ALB实例，单击实例ID。

4. 在监听页签，单击创建监听，完成以下配置，然后单击下一步。

   此处仅列出和本文强相关的配置项，其他未列出的配置项使用默认值。

   参数	说明
   选择监听协议	选择监听的协议类型。 本文选择HTTPS。
   监听端口	输入用来接收请求并向后端服务器进行请求转发的监听端口，本文输入443。

5. 在配置SSL证书配置向导，选择步骤一购买的服务器证书。

6. 单击修改展开高级配置，开启高级配置中的启用双向认证。选择CA证书来源为阿里云签发，在选择默认CA证书下拉框中选择步骤二：准备客户端证书购买的CA证书。

7. 选择TLS安全策略，然后单击下一步。

8. 在选择服务器组配置向导，选择服务器类型及服务器类型下的后端服务器组RS，查看后端服务器ECS01和ECS02的信息，然后单击下一步。

9. 在配置审核配置向导，确认配置信息，然后单击提交。

步骤六：配置域名解析

1. 登录应用型负载均衡ALB控制台。

2. 在顶部菜单栏，选择ALB实例所属的地域。

3. 选择已创建的ALB实例，复制其对应的DNS名称。

4. 完成以下步骤添加CNAME解析记录。

   1. 登录域名解析控制台。

   2. 在域名解析页面单击添加域名。

   3. 在添加域名对话框中输入您的域名，然后单击确认。

      重要

      • 这里添加的域名为服务器证书绑定的域名。

      • 您的域名需已完成TXT记录验证。

   4. 在目标域名的操作列单击解析设置。

   5. 在解析设置页面单击添加记录。

   6. 在添加记录面板配置以下信息完成CNAME解析配置，然后单击确认。

      配置	说明
      记录类型	在下拉列表中选择CNAME。
      主机记录	您的域名的前缀。
      解析请求来源	选择默认。
      记录值	输入域名对应的CNAME地址，即您复制的ALB实例的DNS名称。
      TTL	全称Time To Live，表示DNS记录在DNS服务器上的缓存时间，本文使用默认值。

      说明

      • 新增CNAME记录实时生效，修改CNAME记录取决于本地DNS缓存的解析记录的TTL到期时间，默认为10分钟。

      • 添加时如遇添加冲突，请换一个解析域名。更多信息请参见解析记录冲突规则。

步骤七：测试HTTPS双向认证

1. 登录应用型负载均衡ALB控制台。

2. 在顶部菜单栏，选择ALB实例所属的地域。

3. 在实例页面，单击目标实例ID，然后单击监听页签，查看健康检查状态。

   当健康检查状态列为正常时，表示后端服务器可以正常接收处理ALB的HTTPS监听转发的请求。

4. 在浏览器中，输入https://domain:port，在弹出的对话框中选择用于验证客户端身份的证书。

5. 刷新浏览器，您可以观察到客户端的请求在ECS01和ECS02服务器之间的转换。