用户在阿里云上部署的网站或应用程序对互联网提供服务时,通常会配置HTTPS加密以确保数据的安全传输。针对HTTPS场景,ALB预置了部分常用的TLS安全策略以满足通用需求,但当您有特定的安全或合规需求时,例如需要仅支持特定版本的TLS协议、禁用某些加密算法套件等,您可在ALB自定义TLS安全策略并配置到监听中,从而进一步提升业务的安全性。
使用限制
基础版ALB实例不支持自定义TLS安全策略,仅标准版、WAF增强版ALB实例支持自定义TLS安全策略。基础版实例如需使用该功能,需要升级ALB实例版本,可参考ALB实例变配。
当您自定义TLS安全策略选择特定版本的TLS协议、特定的加密算法套件时,需要确保客户端(例如浏览器)同时支持对应协议与加密算法套件,否则有可能导致客户端与服务端建立连接失败从而影响用户正常访问。
前提条件
步骤一:创建自定义TLS安全策略
在顶部菜单栏,选择实例所属的地域。
在左侧导航栏,选择TLS安全策略。
单击自定义策略页签下的创建自定义策略。
根据您的业务需求填写对应的安全策略名称,选择TLS协议最低版本、加密算法套件等信息,参数详细介绍可参考自定义策略。完成后单击创建。
步骤二:在HTTPS监听中应用自定义TLS安全策略
新建HTTPS监听
在顶部菜单栏,选择实例所属的地域。
在左侧导航栏,选择实例。
在实例页面,找到目标实例,然后在操作列单击创建监听。
在配置监听页面配置以下信息,其他参数可保持默认值或根据实际情况修改。完成后单击下一步。
配置
说明
选择监听协议
选择HTTPS。
监听端口
本文配置端口443。
在配置SSL证书页面配置以下信息,其他参数可保持默认值或根据实际情况修改。完成后单击下一步。
配置
说明
选择服务器证书
选择准备的服务器证书。
TLS安全策略
选择步骤一创建的自定义策略。
在选择服务器组页面配置以下信息,其他参数可保持默认值或根据实际情况修改。完成后单击下一步。
配置
说明
选择服务器组
选择此前已创建好的服务器组。
在配置审核页面,检查配置参数是否有误,无误的话单击提交,等待监听创建完成。
已有HTTPS监听
在顶部菜单栏,选择实例所属的地域。
在左侧导航栏,选择实例。
在实例页面,找到目标实例,然后单击实例ID。
在监听页签,找到目标HTTPS监听,然后单击监听ID。
在SSL证书区域,单击TLS安全策略后的
图标。在编辑TLS安全策略对话框,选择已创建的自定义TLS安全策略,然后单击保存。
步骤三:配置域名解析
在顶部菜单栏选择地域。
选择要进行域名解析的ALB实例,复制其对应的DNS名称。
完成以下步骤来添加CNAME解析记录。
登录域名解析控制台。
在域名解析页面单击添加域名。
在添加域名对话框中输入您的主机域名,然后单击确认。
重要您的主机域名需已完成TXT记录验证。
在目标域名的操作列单击解析设置。
在解析设置页面单击添加记录。
在添加记录面板配置以下信息完成CNAME解析配置,然后单击确认。
配置
说明
记录类型
在下拉列表中选择CNAME。
主机记录
您的域名的前缀,例如
www。解析请求来源
选择默认。
记录值
输入域名对应的CNAME地址,即您复制的ALB实例的DNS名称。
TTL
全称Time To Live,表示DNS记录在DNS服务器上的缓存时间,本文使用默认值。
步骤四:结果验证
在浏览器中输入ALB对应绑定的域名,并多次刷新页面,您可以看到请求正通过HTTPS协议访问后端服务,且请求在两台ECS之间转换。
相关文档
添加HTTPS监听操作详细信息和注意事项,可参考添加HTTPS监听。
TLS安全策略详情、系统默认策略、默认策略差异等信息可参考TLS安全策略。
当您需要在同一个监听中将不同域名的HTTPS访问请求转发至不同的后端服务器,您可参考单ALB实例配置多域名HTTPS网站实现多域名HTTPS网站。
如果您想实现客户端到ALB、ALB到后端服务器之间的全链路加密通信,提升敏感业务的安全性,您可参考配置全链路HTTPS访问实现加密通信。
当您在处理一些关键业务时,希望使用HTTPS双向认证,通过对客户端服务端通信双方做认证,为您的业务提供更高的安全性,您可参考使用ALB部署HTTPS业务(双向认证)。
- 本页导读 (1)