负载均衡：管理证书

使用限制

• 基础版ALB实例不支持双向认证。

• QUIC监听暂不支持双向认证。

• HTTP监听不支持单向认证和双向认证。

前提条件

• 您已经创建标准版或WAF增强版的ALB实例，具体操作，请参见创建应用型负载均衡。

• 您已经创建可用的后端服务器组。具体操作，请参见创建和管理服务器组。

• 您已在证书中心购买或上传服务器证书。具体操作，请参见购买SSL证书和上传SSL证书。

• 您已在证书中心购买并启用子CA证书，且私有子CA的证书剩余数量不为0。具体操作，请参见购买及启用私有CA。

添加证书

1. 登录应用型负载均衡ALB控制台。

2. 在顶部菜单栏处，选择实例所属的地域。

3. 在实例页面，找到目标实例，单击实例ID。

4. 选择以下一种方法，打开监听配置向导。

   • 在实例页面，在目标实例操作列单击创建监听。

   • 在实例页面，单击目标实例ID。在监听页签，单击创建监听。

5. 在配置监听配置向导，完成以下配置，然后单击下一步。

   本文仅列举强相关参数，更多信息，请参见添加HTTPS监听。

   监听配置	说明
   选择监听协议	选择监听的协议类型。 您可以根据需要选择HTTPS或QUIC。 说明 QUIC监听暂不支持双向认证。 HTTP监听不支持单向认证和双向认证。 本文选择HTTPS。
   监听端口	输入用来接收请求并向后端服务器进行请求转发的监听端口，端口范围为1~65535。通常HTTP协议使用80端口，HTTPS协议使用443端口。 本文输入443。
   监听名称	输入自定义监听名称。
   高级配置	单击修改展开高级配置。

6. 在配置SSL证书配置向导，选择一个服务器证书。

   如果没有可选的服务器证书，您可以在下拉框中单击创建SSL证书进入证书中心，在证书中心购买或上传服务器证书。更多信息，请参见购买SSL证书和上传SSL证书。

7. 如果您要开启HTTPS双向认证或者设置TLS安全策略，单击高级配置右侧的修改。

8. 开启高级配置中的启用双向认证。选择CA证书来源为阿里云签发，在选择默认CA证书下拉框中选择一个CA证书。

   如果没有可选的CA证书，您可以在下拉框中单击购买CA证书创建新证书。更多信息，请参见购买及启用私有CA。

   说明

   • 仅标准版和WAF增强版的ALB实例支持双向认证，基础版ALB实例不支持双向认证。

   • 开启双向认证后，如果您后续需要关闭双向认证，请参考以下步骤。

     1. 在实例页面，单击目标实例ID。

     2. 在监听页签，单击目标HTTPS协议监听ID。

     3. 在监听详情页签，在SSL证书区域关闭双向认证开关。

9. 选择TLS安全策略，然后单击下一步。

   如果没有可选的TLS安全策略，您可以在下拉框中单击创建TLS安全策略。

   TLS安全策略包含HTTPS可选的TLS协议版本和配套的加密算法套件，更多信息，请参见TLS安全策略。

10. 在选择服务器组配置向导，选择服务器组，查看后端服务器信息，然后单击下一步。

11. 在配置审核配置向导，确认配置信息，然后单击提交。

更多操作

1. 登录应用型负载均衡ALB控制台。

2. 在顶部菜单栏处，选择实例所属的地域。

3. 在实例页面，找到目标实例，单击实例ID。

4. 单击监听页签，在目标监听操作列单击管理证书。

5. 在监听证书页签，您可以根据需要进行如下操作。

   说明

   为避免证书过期对您的服务产生影响，请在证书过期前更换证书。

   证书类别	操作	说明
   服务器证书	更换监听默认服务器证书	在服务器证书页签，找到监听默认服务器证书，在操作列单击更换。 在弹出的对话框，选择服务器证书，单击确定。 如果没有可选的服务器证书，您可以在下拉框中单击创建SSL证书进入证书中心，在证书中心购买或上传服务器证书。更多信息，请参见购买SSL证书和上传SSL证书。
   	添加服务器扩展证书	您可以通过添加扩展证书增加监听关联的证书。 在服务器证书页签，然后单击添加扩展证书。 在添加扩展证书对话框中，选择服务器证书，然后单击确定。 如果没有可选的服务器证书，您可以在右上角单击购买证书进入证书中心，在证书中心购买或上传服务器证书。更多信息，请参见购买SSL证书和上传SSL证书。
   	删除服务器扩展证书	您可以删除不需要的服务器扩展证书，删除后该证书将不再认证后端服务器。 在服务器证书页签，找到目标扩展证书，在操作列单击删除。 在弹出的对话框中，单击确定删除。
   CA证书	开启或关闭双向认证	开启双向认证：如果您创建的监听从未开启过双向认证，您可以通过以下方式开启双向认证。 单击CA证书页签，打开双向认证开关或单击点此开启双向认证。 在启用双向认证对话框中，选择CA证书来源为阿里云签发，在选择默认CA证书下拉框中选择一个CA证书，然后单击确定。 如果没有可选的CA证书，您可以在下拉框中单击购买CA证书创建新证书。更多信息，请参见购买及启用私有CA。 关闭双向认证：如果您创建的监听开启过双向认证，您可以单击CA证书页签，然后关闭双向认证开关，关闭后该监听只支持单向认证。
   	更换CA证书	单击CA证书页签，找到监听默认CA证书，在操作列单击更换。 在更换默认CA证书对话框中，选择CA证书来源为阿里云签发，在选择默认CA证书下拉框中选择一个CA证书，然后单击确定。 如果没有可选的CA证书，您可以在下拉框中单击购买CA证书创建新证书。更多信息，请参见购买及启用私有CA。

相关文档

• 教程类：

  • 如果您需要为ALB实例配置多域名HTTPS网站，请参见单ALB实例配置多域名HTTPS网站。

  • 如果您需要使用ALB部署HTTPS双向认证业务，请参见使用ALB部署HTTPS业务（双向认证）。

  • 如果您需要使用ALB配置全链路HTTPS加密通信业务，请参见配置全链路HTTPS访问实现加密通信。

• API类：

  • CreateListener：创建HTTP、HTTPS或QUIC监听。

  • AssociateAdditionalCertificatesWithListener：为HTTPS和QUIC监听添加扩展证书。

  • DissociateAdditionalCertificatesFromListener：从HTTPS和QUIC监听移除扩展证书。