在配置ALB监听时,您可以直接使用SSL证书服务中的证书,或者将所需的第三方签发的服务器证书和CA证书上传至SSL证书服务。

背景信息

ALB支持单向认证和双向认证,请根据您的需要进行选择。
  • 单向认证:客户端需要认证服务端,而服务端不需要认证客户端。配置HTTPS监听和QUIC监听时,需要为监听绑定服务器证书。
  • 双向认证:客户端需要认证服务端,服务端也需要认证客户端,需要双方都通过认证,才能正常请求响应,以确保数据信息的安全。开启双向认证后,为监听绑定服务器证书的同时,还需要绑定CA证书来认证客户端。

使用限制

  • 基础版ALB实例不支持双向认证。
  • QUIC监听暂不支持双向认证。
  • HTTP监听不支持单向认证和双向认证。

前提条件

添加证书

  1. 登录应用型负载均衡ALB控制台
  2. 在顶部菜单栏处,选择实例所属的地域。
  3. 实例页面,找到目标实例,单击实例ID。
  4. 选择以下一种方法,打开监听配置向导。
    • 实例页面,在目标实例操作列单击创建监听
    • 实例页面,单击目标实例ID。在监听页签,单击创建监听
  5. 配置监听配置向导,完成以下配置,然后单击下一步
    本文仅列举强相关参数,更多信息,请参见添加HTTPS监听
    监听配置 说明
    选择负载均衡协议 选择监听的协议类型。 您可以根据需要选择HTTPSQUIC
    说明
    • QUIC监听暂不支持双向认证。
    • HTTP监听不支持单向认证和双向认证。
    本文选择HTTPS
    监听端口 输入用来接收请求并向后端服务器进行请求转发的监听端口,端口范围为1~65535。通常HTTP协议使用80端口,HTTPS协议使用443端口。

    本文输入443

    监听名称 输入自定义监听名称。
    高级配置 单击修改展开高级配置。
  6. 配置SSL证书配置向导,选择已创建的服务器证书,然后单击高级配置后的修改
  7. 打开启用双向认证开关,选择已创建的CA证书,然后选择TLS安全策略,单击下一步
  8. 选择服务器组配置向导,选择服务器类型服务器类型下的后端服务器组,查看后端服务器信息,然后单击下一步
  9. 配置审核配置向导,确认配置信息,然后单击提交

更多操作

  1. 登录应用型负载均衡ALB控制台
  2. 在顶部菜单栏处,选择实例所属的地域。
  3. 实例页面,找到目标实例,单击实例ID。
  4. 单击监听页签,在目标监听操作列单击管理证书
  5. 监听证书页签,您可以根据需要进行如下操作。
    说明 为避免证书过期对您的服务影响,请在证书过期前更换证书。
    操作 说明
    更换监听默认服务器证书
    1. 单击服务器证书页签,找到监听默认服务器证书,在操作列单击更换
    2. 在弹出的对话框,选择服务器中已有证书或者购买新的证书,单击确定
    添加服务器扩展证书 您可以通过添加扩展证书增加监听关联的证书。
    1. 单击服务器证书页签,然后单击添加扩展证书
    2. 添加扩展证书对话框中,选择服务器中已有的证书,然后单击确定
    删除服务器扩展证书 您可以删除不需要的服务器扩展证书,删除后该证书将不再认证后端服务器。
    1. 单击服务器证书页签,找到目标扩展证书,在操作列单击删除
    2. 在弹出的对话框中,单击确定删除
    开启或关闭双向认证 您可以开启或关闭双向认证,如果该监听从未开启过双向认证,则开启双向认证时需要购买CA证书。
    • 开启双向认证:如果您创建的监听从未开启过双向认证,您可以通过以下方式开启双向认证。
      1. 单击CA证书页签,打开双向认证开关或单击点此开启双向认证
      2. 启用双向认证对话框中,选择已创建的CA证书或购买新的CA证书,然后单击确定
    • 关闭双向认证:如果您创建的监听开启过双向认证,您可以单击CA证书页签,然后关闭双向认证开关,关闭后该监听只支持单向认证。
    更换CA证书
    1. 单击CA证书页签,找到监听默认CA证书,在操作列单击更换
    2. 在弹出的对话框中,选择已有的其他CA证书或购买新的CA证书,然后单击确定

相关文档