您在开发网站等业务系统时,如果需要实现仅客户端验证服务端身份的HTTPS单向认证,可以参考本文在阿里云CLB中实现此功能。
前提条件
已创建CLB实例。具体操作,请参见创建和管理CLB实例。
已创建虚拟服务器组,服务器组中添加了ECS01和ECS02实例,并且在ECS01和ECS02中部署了不同的应用服务。
已购买证书或者上传第三方证书到SSL证书服务并绑定域名,请参见SSL证书快速上手。
步骤一:上传服务器证书到CLB
在配置HTTPS监听前,您需要购买服务器证书,并将服务器证书上传到负载均衡的证书管理系统。
在左侧导航栏,选择
。在证书管理页面,单击创建证书。
在创建证书页面配置以下信息,其他参数可保持默认值或根据实际情况修改。完成后单击创建。
配置
说明
请选择证书来源
本文选择阿里云签发证书。
证书列表
在下拉列表中选择需要上传的证书。
证书部署地域
选择证书要部署的地域。证书不支持在未部署的地域使用。如果该证书需要在多个地域使用,选择所有需要的地域。
步骤二:添加HTTPS监听
在左侧导航栏,选择
。在顶部菜单栏处,选择实例所属的地域。
在实例管理页面,找到目标实例,然后在操作列单击监听配置向导。
在协议&监听页面配置以下信息,其他参数可保持默认值或根据实际情况修改。完成后单击下一步。
配置
说明
选择监听协议
选择HTTPS。
监听端口
本文配置示例为HTTPS默认端口443。
在SSL证书页面配置以下信息,其他参数可保持默认值或根据实际情况修改。完成后单击下一步。
配置
说明
选择服务器证书
选择步骤一中上传的服务器证书。
在后端服务器页面配置以下信息,其他参数可保持默认值或根据实际情况修改。完成后单击下一步。
配置
说明
请选择将监听请求转发至哪类后端服务器
选择虚拟服务器组。
选择服务器组
选择此前已创建好的虚拟服务器组。
在健康检查页面,参数可保持默认值或根据实际情况修改。完成后单击下一步。
在配置审核页面,检查配置参数是否有误,无误的话单击提交,等待监听创建完成。
步骤三:配置域名解析
在顶部菜单栏选择地域。
选择要进行域名解析的CLB实例,复制其对应的公网服务地址。
完成以下步骤来添加A解析记录。
登录域名解析控制台。
在域名解析页面单击添加域名。
在添加域名对话框中输入您的主机域名,然后单击确认。
重要您的主机域名需已完成TXT记录验证。
在目标域名的操作列单击解析设置。
在解析设置页面单击添加记录。
在添加记录面板配置以下信息完成A记录解析配置,然后单击确认。
配置
说明
记录类型
在下拉列表中选择A。
主机记录
您的域名的前缀。
解析请求来源
选择默认。
记录值
记录值为IP地址,即您复制的CLB实例的公网服务地址。
TTL
全称Time To Live,表示DNS记录在DNS服务器上的缓存时间,本文使用默认值。
步骤四:测试负载均衡服务
在浏览器中输入CLB对应绑定的域名,并多次刷新页面,您可以看到正通过HTTPS协议访问后端服务,且请求在两台ECS之间转换。
相关文档
如您需要使用非阿里云签发证书,证书要求可参考证书要求,证书上传相关注意事项可参考上传非阿里云签发证书。
添加HTTPS监听详细操作可参考添加HTTPS监听。
如您有更高的安全需求,您可参考使用CLB部署HTTPS业务(双向认证),实现对服务器和客户端的双向HTTPS认证,为您的业务提供更高的安全性。