为CLB配置HTTPS监听前,需先创建证书。
证书说明
CLB支持单向认证和双向认证两种模式:
单向认证:CLB只需要配置服务器证书。由客户端验证服务器身份。
双向认证:CLB需要同时配置服务器证书、CA证书。服务器和客户端互相验证身份。
CLB支持两种来源的证书:
阿里云数字证书管理服务:直接选择在阿里云数字证书管理服务中已购买的证书,此方式便于统一管理,并可享受证书到期提醒和一键续期服务。仅支持服务器证书,暂不支持客户端CA证书。
第三方签发的证书:上传由其他服务商签发或您自签名的证书,此方式需要您手动上传证书的公钥和私钥文件。支持服务器证书及客户端CA证书。
证书上传到CLB后,CLB即可管理证书,不需要在后端服务器上绑定证书。
创建证书
阿里云签发证书
确保已在SSL证书控制台购买或上传所需证书。
- 登录传统型负载均衡CLB控制台。
在左侧导航栏,选择。
在证书管理页面,单击创建证书。
在创建证书面板,选择阿里云签发证书,从证书列表中选择使用的SSL证书,并选择证书部署地域。
证书不支持跨地域使用。如果该证书需要在多个地域使用,选择所有需要的地域。
单击创建。 返回证书管理页面查看已经创建的证书。
非阿里云签发证书
准备工作:
准备好PEM格式的服务器证书公钥文件和私钥文件。
(仅双向认证需要)准备好PEM格式的CA证书公钥文件。
- 登录传统型负载均衡CLB控制台。
在左侧导航栏,选择。
在证书管理页面,单击创建证书。
在创建证书面板,选择上传非阿里云签发证书,完成以下配置后单击创建。
配置
说明
证书类型
选择要上传的证书类型:
服务器证书:配置HTTPS单向认证,只需要上传服务器证书和私钥。
CA证书:配置HTTPS双向认证,除了上传服务器证书外,还需要上传CA证书。
公钥证书
复制服务器或者CA证书内容,公钥证书包含证书的公钥和签名等信息。
CLB使用Nginx格式的证书,通常从证书提供商获取到的Nginx格式的证书文件,以.pem为后缀,也有可能以.crt或其他为后缀。
单击查看样例查看正确的证书样式。详情参见证书要求。
私钥
复制服务器证书的私钥内容,通常从证书提供商获取到Nginx格式的证书文件,以.key为后缀。
单击查看样例查看正确的证书样式。详情参见私钥格式要求。
重要只有上传服务器证书时,才需要上传私钥。
证书部署地域
选择证书的部署地域。
证书不支持在未部署的地域使用。如果该证书需要在多个地域使用,选择所有需要的地域。
更多信息
使用限制
证书支持在多个地域使用,每个地域最多可创建100个服务器证书和100个客户端CA证书。
目前阿里云CLB支持的公钥算法:RSA 1024、RSA 2048和RSA 4096。
上传的证书格式必须是PEM。限制PEM证书文件中含有
BEGIN DH PARAMETERS字段的字符串上传,因为HTTPS监听使用的ECDHE算法簇支持前向保密技术,不支持将DHE算法簇所需要的安全增强参数文件上传。证书不支持跨账号使用。若要在多个账号使用,需先在已创建证书的阿里云账号下载Nginx格式证书,再去需要创建证书的账号上传该证书。