文档

管理证书

更新时间:

在配置ALB单向认证或双向认证业务时,您需要在阿里云证书中心购买证书,或者将所需的第三方签发的服务器证书和CA证书上传至阿里云证书中心,ALB从证书中心获取该证书并使用。

背景信息

ALB支持单向认证和双向认证,请根据您的需要进行选择。

  • 单向认证:客户端需要认证服务端,而服务端不需要认证客户端。配置HTTPS监听和QUIC监听时,需要为监听绑定服务器证书。

  • 双向认证:客户端需要认证服务端,服务端也需要认证客户端,需要双方都通过认证,才能正常请求响应,以确保数据信息的安全。开启双向认证后,为监听绑定服务器证书的同时,还需要绑定CA证书来认证客户端。

使用限制

  • 基础版ALB实例不支持双向认证。

  • QUIC监听暂不支持双向认证。

  • HTTP监听不支持单向认证和双向认证。

前提条件

添加证书

  1. 登录应用型负载均衡ALB控制台
  2. 在顶部菜单栏处,选择实例所属的地域。

  3. 实例页面,找到目标实例,单击实例ID。

  4. 选择以下一种方法,打开监听配置向导。

    • 实例页面,在目标实例操作列单击创建监听

    • 实例页面,单击目标实例ID。在监听页签,单击创建监听

  5. 配置监听配置向导,完成以下配置,然后单击下一步

    本文仅列举强相关参数,更多信息,请参见添加HTTPS监听

    监听配置

    说明

    选择监听协议

    选择监听的协议类型。 您可以根据需要选择HTTPSQUIC

    说明
    • QUIC监听暂不支持双向认证。

    • HTTP监听不支持单向认证和双向认证。

    本文选择HTTPS

    监听端口

    输入用来接收请求并向后端服务器进行请求转发的监听端口,端口范围为1~65535。通常HTTP协议使用80端口,HTTPS协议使用443端口。

    本文输入443

    监听名称

    输入自定义监听名称。

    高级配置

    单击修改展开高级配置。

  6. 配置SSL证书配置向导,选择一个服务器证书。

    如果没有可选的服务器证书,您可以在下拉框中单击创建SSL证书进入证书中心,在证书中心购买或上传服务器证书。更多信息,请参见购买SSL证书上传SSL证书

  7. 如果您要开启HTTPS双向认证或者设置TLS安全策略,单击高级配置右侧的修改

  8. 开启高级配置中的启用双向认证

    • 选择CA证书来源为阿里云签发,在选择默认CA证书下拉框中选择一个CA证书。

      如果没有可选的CA证书,您可以在下拉框中单击购买CA证书创建新证书。更多信息,请参见购买及启用私有CA

    • 选择CA证书来源为非阿里云签发,在选择默认CA证书下拉框中选择一个CA证书。

      如果没有可选的自签名CA证书,您可以在下拉框中单击上传自签CA证书,在证书应用仓库页面,创建数据来源为上传CA证书的仓库,然后通过证书应用仓库上传自签名根CA或自签名子根CA证书。更多信息,请参见创建并管理证书应用仓库

    说明
    • 仅标准版和WAF增强版的ALB实例支持双向认证,基础版ALB实例不支持双向认证。

    • 开启双向认证后,如果您后续需要关闭双向认证,请参考以下步骤。

      1. 实例页面,单击目标实例ID。

      2. 监听页签,单击目标HTTPS协议监听ID。

      3. 监听详情页签,在SSL证书区域关闭双向认证开关。

  9. 选择TLS安全策略,然后单击下一步

    如果没有可选的TLS安全策略,您可以在下拉框中单击创建TLS安全策略

    TLS安全策略包含HTTPS可选的TLS协议版本和配套的加密算法套件,更多信息,请参见TLS安全策略

  10. 选择服务器组配置向导,选择服务器组,查看后端服务器信息,然后单击下一步

  11. 配置审核配置向导,确认配置信息,然后单击提交

更多操作

  1. 登录应用型负载均衡ALB控制台
  2. 在顶部菜单栏处,选择实例所属的地域。

  3. 实例页面,找到目标实例,单击实例ID。

  4. 单击监听页签,在目标监听操作列单击管理证书

  5. 监听证书页签,您可以根据需要进行如下操作。

    说明

    为避免证书过期对您的服务产生影响,请在证书过期前更换证书。

    证书类别

    操作

    说明

    服务器证书

    更换监听默认服务器证书

    1. 服务器证书页签,找到监听默认服务器证书,在操作列单击更换

    2. 在弹出的对话框,选择服务器证书,单击确定

      如果没有可选的服务器证书,您可以在下拉框中单击创建SSL证书进入证书中心,在证书中心购买或上传服务器证书。更多信息,请参见购买SSL证书上传SSL证书

    添加服务器扩展证书

    您可以通过添加扩展证书增加监听关联的证书。

    1. 服务器证书页签,然后单击添加扩展证书

    2. 添加扩展证书对话框中,选择服务器证书,然后单击确定

      如果没有可选的服务器证书,您可以在右上角单击购买证书进入证书中心,在证书中心购买或上传服务器证书。更多信息,请参见购买SSL证书上传SSL证书

    删除服务器扩展证书

    您可以删除不需要的服务器扩展证书,删除后该证书将不再认证后端服务器。

    1. 服务器证书页签,找到目标扩展证书,在操作列单击删除

    2. 在弹出的对话框中,单击确定删除

    CA证书

    开启或关闭双向认证

    • 开启双向认证:如果您创建的监听从未开启过双向认证,您可以通过以下方式开启双向认证。

      1. 单击CA证书页签,打开双向认证开关或单击点此开启双向认证

      2. 启用双向认证对话框中,根据业务选择以下任一步骤完成操作。

        • 选择CA证书来源为阿里云签发,在选择默认CA证书下拉框中选择一个CA证书,然后单击确定

          如果没有可选的CA证书,您可以在下拉框中单击购买CA证书创建新证书。更多信息,请参见购买及启用私有CA

        • 选择CA证书来源为非阿里云签发,在选择默认CA证书下拉框中选择一个CA证书,然后单击确定

          如果没有可选的自签名CA证书,您可以在下拉框中单击上传自签CA证书,在证书应用仓库页面,创建数据来源为上传CA证书的仓库,然后通过证书应用仓库上传自签名根CA或自签名子根CA证书。更多信息,请参见创建并管理证书应用仓库

    • 关闭双向认证:如果您创建的监听开启过双向认证,您可以单击CA证书页签,然后关闭双向认证开关,关闭后该监听只支持单向认证。

    更换CA证书

    1. 单击CA证书页签,找到监听默认CA证书,在操作列单击更换

    2. 更换默认CA证书对话框中,根据业务选择以下任一步骤完成操作。

      • 选择CA证书来源为阿里云签发,在选择默认CA证书下拉框中选择一个CA证书,然后单击确定

        如果没有可选的CA证书,您可以在下拉框中单击购买CA证书创建新证书。更多信息,请参见购买及启用私有CA

      • 选择CA证书来源为非阿里云签发,在选择默认CA证书下拉框中选择一个CA证书,然后单击确定

        如果没有可选的自签名CA证书,您可以在下拉框中单击上传自签CA证书,在证书应用仓库页面,创建数据来源为上传CA证书的仓库,然后通过证书应用仓库上传自签名根CA或自签名子根CA证书。更多信息,请参见创建并管理证书应用仓库

相关文档

  • 本页导读 (1)
文档反馈