HTTPS协议适用于需要加密传输的应用。您可以创建使用加密连接的HTTPS监听转发来自HTTPS协议的请求。此功能支持在ALB实例与启动SSL或TLS会话的客户端之间进行流量加密。

前提条件

  • 您已经创建了ALB实例。具体操作,请参见创建应用型负载均衡
  • 您已经在ALB实例上部署至少一个SSL服务器证书和TLS安全策略。更多信息,请参见TLS安全策略
  • 您已经指定可用的后端服务器,以将转发操作添加到默认的监听规则。具体操作,请参见创建和管理服务器组

步骤一:配置监听

  1. 登录应用型负载均衡ALB控制台
  2. 在顶部菜单栏,选择实例的所属地域。
  3. 选择以下一种方法,打开监听配置向导。
    • 实例页面,找到目标实例,在操作列单击创建监听
    • 实例页面,单击目标实例ID。在监听页签,单击创建监听
  4. 配置监听配置向导,完成以下配置,然后单击下一步
    监听配置说明
    选择负载均衡协议选择监听的协议类型。

    本示例选择HTTPS

    监听端口输入用来接收请求并向后端服务器进行请求转发的监听端口,本示例输入443。通常HTTP协议使用80端口,HTTPS协议使用443端口。

    端口范围为1~65535。

    说明 在同一个负载均衡实例内,监听端口不可重复。
    监听名称

    输入监听名称。长度为2~256个字符,支持中文和大小写英文字母,可包含数字、半角句号(.)、下划线(_)、短划线(-)、半角逗号(,)、半角分号(;)、正斜线(/)和at(@)。

    高级配置单击修改展开高级配置。
    启用HTTP 2.0选择是否开启HTTP 2.0。
    连接空闲超时时间指定连接空闲超时时间,取值范围为1~60秒。
    在超时时间内一直没有访问请求,负载均衡会暂时中断当前连接,直到下一次请求来临时重新建立新的连接。
    说明 该功能对使用HTTP 2.0的请求暂不生效。
    连接请求超时时间指定请求超时时间,取值范围为1~180秒。

    在超时时间内后端服务器一直没有响应,负载均衡将放弃等待,给客户端返回HTTP 504错误码。

    数据压缩开启该配置对特定文件类型进行压缩,关闭该配置则不会对任何文件类型进行压缩。

    目前,Brotli支持压缩所有类型,Gzip支持压缩的类型包括:text/xmltext/plaintext/cssapplication/javascriptapplication/x-javascriptapplication/rss+xmlapplication/atom+xmlapplication/xmlapplication/json

    附加HTTP头字段选择您要添加的自定义HTTP头字段:
    • 添加X-Forwarded-For头字段获取客户端真实IP。
    • 添加SLB-ID头字段获取负载均衡实例的ID。
    • 添加X-Forwarded-Proto头字段获取实例的监听协议。
    • 添加X-Forwarded-Clientcert-subjectdn头字段获取访问负载均衡实例客户端证书的所有者信息。
    • 添加X-Forwarded-Clientcert-issuerdn头字段获取访问负载均衡实例客户端证书的所发行者信息。
    • 添加X-Forwarded-Clientcert-fingerprint头字段获取访问负载均衡实例客户端证书的指纹取值。
    • 添加X-Forwarded-Clientcert-clientverify头字段获取访问负载均衡实例客户端证书的校验结果。
    • 添加X-Forwarded-Port头字段获取负载均衡实例的监听端口。
    • 添加X-Forwarded-Client-srcport头字段获取访问负载均衡实例客户端的端口。
    开启QUIC升级选择是否开启QUIC升级,如果开启QUIC升级,请在关联的QUIC监听下拉列表中选择一个已创建的QUIC监听。

    如果您未创建QUIC监听,单击创建监听,创建一个QUIC监听。具体操作,请参见添加QUIC监听

步骤二:配置SSL证书

添加HTTPS监听,您需要配置SSL证书以确保您的业务受到加密保护并得到权威机构的身份认证,如下表所示。

证书说明单向认证是否需要双向认证是否需要
服务器证书用来证明服务器的身份。

您的浏览器用来检查服务器发送的证书是否是由自己信赖的中心签发的。更多信息,请参见什么是SSL证书

您可在证书中心购买或上传服务器证书,ALB从证书中心获取该证书并使用。

您可在证书中心购买或上传服务器证书,ALB从证书中心获取该证书并使用。

客户端证书用来证明客户端的身份。

用于证明客户端用户的身份,使得客户端用户在与服务器端通信时可以证明其真实身份。

需要客户端进行安装。

CA证书服务器用CA证书验证客户端证书的签名。如果没有通过验证,拒绝连接。

您可在证书中心购买或上传CA证书,ALB从证书中心获取该证书并使用。

TLS安全策略TLS安全策略包含HTTPS可选的TLS协议版本和配套的加密算法套件,更多信息,请参见TLS安全策略
说明 如果您有多域名访问或挂载多个服务器证书的需求,配置完HTTPS监听后,您可以选择为该HTTPS监听添加扩展证书。具体操作,请参见添加扩展证书
  1. 配置SSL证书配置向导,选择一个服务器证书。
    如果没有可选的服务器证书,您可以在下拉框中单击创建证书进入证书中心,在证书中心购买或上传服务器证书。更多信息,请参见购买SSL证书上传SSL证书
  2. 如果您要开启HTTPS双向认证或者设置TLS安全策略,单击高级配置右侧的修改
  3. 开启高级配置中的启用双向认证
    • 选择CA证书来源为阿里云签发,在选择默认CA证书下拉框中选择一个CA证书。

      如果没有可选的CA证书,您可以在下拉框中单击购买CA证书创建新证书。更多信息,请参见购买及启用私有CA

    • 选择CA证书来源为非阿里云签发,在选择默认CA证书下拉框中选择一个CA证书。

      如果没有可选的自签名CA证书,您可以在下拉框中单击上传自签CA证书,在证书仓库页面,创建数据来源为上传证书的仓库,然后通过证书应用仓库上传自签名根CA或自签名子根CA证书。更多信息,请参见上传三方私有证书

    说明
    • 仅标准版和WAF增强版的ALB实例支持双向认证,基础版ALB实例不支持双向认证。
    • 开启双向认证后,如果您后续需要关闭双向认证,请参考以下步骤。
      1. 实例页面,单击目标实例ID。
      2. 监听页签,单击目标HTTPS协议监听ID。
      3. 监听详情页签,在SSL证书区域关闭双向认证开关。
  4. 选择TLS安全策略,然后单击下一步
    如果没有可选的TLS安全策略,您可以在下拉框中单击创建TLS安全策略。更多信息,请参见TLS安全策略

步骤三:选择服务器组

选择服务器组配置向导,选择服务器组,并查看后端服务器信息,然后单击下一步

步骤四:配置审核

配置审核页面,确认配置信息,单击提交

常见问题

  • HTTPS支持哪些SSL协议版本?

    TLS 1.0、TLS 1.1、TLS 1.2以及TLS 1.3版本,更多信息,请参见TLS安全策略

  • 后端服务器能否获取客户端访问HTTPS监听的协议版本?

    可以。

  • HTTPS监听访问后端服务器的HTTP协议版本是什么?
    • 客户端请求的协议为HTTP 1.1或者HTTP 2.0版本时,七层监听访问后端服务器的HTTP协议版本是HTTP 1.1。
    • 客户端请求的协议为除HTTP 1.1和HTTP 2.0以外其他版本时,七层监听访问后端服务器的HTTP协议版本是HTTP 1.0。