全部产品
Search

搜索本产品

    负载均衡:管理证书

    文档中心

    负载均衡:管理证书

    更新时间:Dec 28, 2023

    在配置TCPSSL监听时,您需要在阿里云证书中心购买证书,或者将所需的第三方签发的服务器证书和CA证书上传至阿里云证书中心,NLB从证书中心获取证书并使用。

    背景信息

    NLB支持单向认证和双向认证,请根据您的需要进行选择。

    • 单向认证:客户端需要认证服务器端,而服务器端不需要认证客户端。客户端从服务器端请求服务器端公钥证书进行验证,然后建立安全通信通道。配置TCPSSL监听时,需要为监听绑定服务器证书。

    • 双向认证:客户端需要从服务器端请求服务器的公钥证书进行验证,同时还需要把客户端的公钥证书上传至服务器端进行验证,双方都通过认证,才能建立安全通信通道进行数据传输。开启双向认证后,为监听绑定服务器证书的同时,还需要绑定CA证书来认证客户端。

    说明

    如果您有多域名访问或挂载多个服务器证书的需求,配置完TCPSSL监听后,您可以选择为该TCPSSL监听添加扩展证书。具体操作,请参见本文更多操作

    前提条件

    添加证书

    1. 登录网络型负载均衡NLB控制台

    2. 在顶部菜单栏,选择NLB实例所属的地域。

    3. 实例页面,找到目标实例,选择以下一种方法,打开监听配置向导。

      • 操作列单击创建监听

      • 单击实例ID,然后单击监听页签,在监听页签,单击监听列表上方的创建监听

      • 单击实例ID,在实例详情页单击配置向导中的创建监听

      • 单击实例ID,在实例详情页的右上角单击创建监听

    4. 配置监听配置向导页面,完成参数的配置,然后单击下一步

      此处仅列出和添加证书强相关的参数,其余参数的配置请参见创建TCPSSL监听

      选择监听协议:本文选择TCPSSL

    5. 配置SSL证书配置向导页面,在选择服务器证书下拉框中选择一个服务器证书。

      如果没有可选的服务器证书,您可以在下拉框中单击创建证书进入证书中心,在证书中心购买或上传服务器证书。更多信息,请参见购买SSL证书上传证书

    6. 可选:开启高级配置中的启用双向认证选择CA证书来源为阿里云签发,在选择默认CA证书下拉框中选择一个CA证书。

      单向认证无需执行该步骤。

      如果没有可选的CA证书,您可以在下拉框中单击购买CA证书创建新证书。更多信息,请参见购买及启用私有CA

      说明

      开启双向认证后,如果您后续需要关闭双向认证,请参考以下步骤。

      1. 实例页面,单击目标实例ID。

      2. 监听页签,单击目标TCPSSL协议监听ID。

      3. 监听详情页签,在SSL证书区域关闭双向认证开关。

    7. 选择TLS安全策略,单击下一步

      如果没有可选的TLS安全策略,您可以在下拉框中单击创建TLS安全策略。更多信息,请参见TLS安全策略

    8. 选择服务器组配置向导页面,选择服务器类型服务器类型下的后端服务器组,查看后端服务器信息,然后单击下一步

    9. 配置审核配置向导页面,确认配置信息,单击提交

    更多操作

    1. 登录网络型负载均衡NLB控制台

    2. 在顶部菜单栏,选择NLB实例所属的地域。

    3. 实例页面,找到目标NLB实例,单击实例ID。

    4. 实例详情页面,单击监听页签,找到目标TCPSSL监听,选择以下一种方式管理证书。

      • 操作列单击管理证书

      • 单击监听ID,在监听详情页签的SSL证书区域,单击管理证书

    5. 监听证书页签,执行以下操作管理证书。

      说明

      为避免证书过期对您的服务影响,请在证书过期前更换证书。

      证书类别

      操作

      说明

      服务器证书

      更换监听默认服务器证书

      1. 服务器证书页签,找到目标证书,在操作列单击更换

      2. 在弹出的对话框中,选择一个服务器证书,然后单击确定

        如果没有可用的服务器证书,您可以在证书下拉框中单击创建SSL证书进入证书中心,在证书中心购买或上传服务器证书。更多信息,请参见购买SSL证书上传证书

      添加扩展证书

      您可以通过添加扩展证书增加监听关联的证书。每个实例最多支持添加25个扩展证书,单次最多支持添加15个扩展证书。

      1. 服务器证书页签,然后单击添加扩展证书

      2. 添加扩展证书对话框中,选择单个或多个服务器证书,然后单击确定

        如果没有可选的服务器证书,您可以在右上角单击购买证书进入证书中心,在证书中心购买或上传服务器证书。更多信息,请参见购买SSL证书上传证书

      删除扩展证书

      您可以删除不需要的服务器扩展证书,删除后该证书将不再认证后端服务器。

      1. 服务器证书页签,找到目标扩展证书,在操作列单击删除

      2. 在弹出的对话框中,单击确定删除

      CA证书

      开启双向认证

      1. 单击CA证书页签,打开双向认证开关或者单击点此开启双向认证

        说明

        您也可以在监听详情页签的SSL证书区域,开启双向认证。

      2. 在弹出的对话框中,完成选择默认CA证书参数的配置,然后单击确定

        如果没有可用的CA证书,您可以在证书下拉框中单击购买证书创建新证书。更多信息,请参见购买及启用私有CA

      更换CA证书

      1. 单击CA证书页签,找到目标证书,在操作列单击更换

      2. 在弹出的对话框中,完成选择默认CA证书参数的配置,然后单击确定

        如果没有可用的CA证书,您可以在证书下拉框中单击购买证书创建新证书。更多信息,请参见购买及启用私有CA

      关闭双向认证

      单击CA证书页签,然后关闭双向认证开关,关闭后该监听只支持单向认证。

    相关文档