HTTPS协议适用于需要加密传输的应用。您可以添加一个HTTPS监听转发来自HTTPS协议的请求。
前提条件
您已经创建负载均衡实例,详情请参见创建负载均衡实例。
步骤一:打开监听配置向导
完成以下操作,打开监听配置向导:
步骤二:配置协议监听
完成以下操作, 配置协议监听:
步骤三:配置SSL证书
添加HTTPS监听,您需要上传服务器证书或CA证书和选择TLS安全策略,如下表所示。
注意 目前阿里云负载均衡支持如下公钥算法:
- RSA 1024
- RSA 2048
- RSA 4096
- ECDSA P-256
- ECDSA P-384
- ECDSA P-521
证书 | 说明 | 单向认证是否需要 | 双向认证是否需要 |
---|---|---|---|
服务器证书 | 用来证明服务器的身份。
用户浏览器用来检查服务器发送的证书是否是由自己信赖的中心签发的。 |
是
服务器证书需要上传到负载均衡的证书管理系统。 |
是
服务器证书需要上传到负载均衡的证书管理系统。 |
客户端证书 | 用来证明客户端的身份。
用于证明客户端用户的身份,使得客户端用户在与服务器端通信时可以证明其真实身份。您可以用自签名的CA证书为客户端证书签名。 |
否 | 是
需要客户端进行安装。 |
CA 证书 | 服务器用CA证书验证客户端证书的签名。如果没有通过验证,拒绝连接。 | 否 | 是
CA证书需要上传到负载均衡的证书管理系统。 |
TLS安全策略 | 仅性能保障型实例支持选择使用的TLS安全策略。
TLS安全策略包含HTTPS可选的TLS协议版本和配套的加密算法套件,具体说明请参见管理TLS安全策略。 |
是 | 是 |
在上传证书前,请注意:
- 上传的证书格式必须是PEM。
- 证书上传到负载均衡后,负载均衡即可管理证书,不需要在后端ECS上绑定证书。
- 因为证书的上传、加载和验证都需要一些时间,所以使用HTTPS协议的实例生效也需要一些时间。一般一分钟后就会生效,最长不会超过三分钟。
- HTTPS监听使用的ECDHE算法簇支持前向保密技术,不支持将DHE算法簇所需要的安全增强参数文件上传,即PEM证书文件中含
BEGIN DH PARAMETERS
字段的字串上传。更多详细信息,请参见证书要求。 - 目前性能保障型负载均衡实例HTTPS监听支持SNI,具体请参见添加扩展域名。
- HTTPS监听的会话ticket保持时间设置为300秒。
- HTTPS监听实际产生的流量会比账单流量更多一些,因为会使用一些流量用于协议握手。
- 在新建连接数很高的情况下,会占用较大的流量。
步骤四:添加后端服务器
添加处理前端请求的后端服务器。您可以使用实例配置的默认服务器组,也可以为监听配置一个虚拟服务器组或主备服务器组。详情请参见后端服务器概述。
本操作中,以默认后端服务器组为例:
步骤五:配置健康检查
负载均衡通过健康检查来判断后端服务器(ECS实例)的业务可用性。健康检查机制提高了前端业务整体可用性,避免了后端ECS异常对总体服务的影响。单击修改更改健康检查配置,详情请参见健康检查概述。
步骤六:提交配置
完成以下操作,确认监听配置。
在文档使用中是否遇到以下问题
更多建议
匿名提交