创建证书

CLB配置HTTPS监听前,需先创建证书。

证书说明

CLB支持单向认证和双向认证两种模式:

  • 单向认证:CLB只需要配置服务器证书。由客户端验证服务器身份。

  • 双向认证:CLB需要同时配置服务器证书、CA证书。服务器和客户端互相验证身份。

CLB支持两种来源的证书:

  • 阿里云数字证书管理服务:直接选择在阿里云数字证书管理服务中已购买的证书,此方式便于统一管理,并可享受证书到期提醒和一键续期服务。仅支持服务器证书,暂不支持客户端CA证书。

  • 第三方签发的证书:上传由其他服务商签发或您自签名的证书,此方式需要您手动上传证书的公钥和私钥文件。支持服务器证书及客户端CA证书。

证书上传到CLB后,CLB即可管理证书,不需要在后端服务器上绑定证书。

创建证书

阿里云签发证书

  1. 确保已在SSL证书控制台购买或上传所需证书。

  2. 登录传统型负载均衡CLB控制台
  3. 在左侧导航栏,选择传统型负载均衡 CLB > 证书管理

  4. 证书管理页面,单击创建证书

  5. 创建证书面板,选择阿里云签发证书,从证书列表中选择使用的SSL证书,并选择证书部署地域。

    证书不支持跨地域使用。如果该证书需要在多个地域使用,选择所有需要的地域。

  6. 单击创建返回证书管理页面查看已经创建的证书。

非阿里云签发证书

  1. 准备工作:

    • 准备好PEM格式的服务器证书公钥文件和私钥文件。

    • (仅双向认证需要)准备好PEM格式的CA证书公钥文件。

  2. 登录传统型负载均衡CLB控制台
  3. 在左侧导航栏,选择传统型负载均衡 CLB > 证书管理

  4. 证书管理页面,单击创建证书

  5. 创建证书面板,选择上传非阿里云签发证书,完成以下配置后单击创建

    配置

    说明

    证书类型

    选择要上传的证书类型:

    • 服务器证书:配置HTTPS单向认证,只需要上传服务器证书和私钥。

    • CA证书:配置HTTPS双向认证,除了上传服务器证书外,还需要上传CA证书。

    公钥证书

    复制服务器或者CA证书内容,公钥证书包含证书的公钥和签名等信息。

    CLB使用Nginx格式的证书,通常从证书提供商获取到的Nginx格式的证书文件,以.pem为后缀,也有可能以.crt或其他为后缀。

    单击查看样例查看正确的证书样式。详情参见证书要求

    私钥

    复制服务器证书的私钥内容,通常从证书提供商获取到Nginx格式的证书文件,以.key为后缀。

    单击查看样例查看正确的证书样式。详情参见私钥格式要求

    重要

    只有上传服务器证书时,才需要上传私钥。

    证书部署地域

    选择证书的部署地域。

    证书不支持在未部署的地域使用。如果该证书需要在多个地域使用,选择所有需要的地域。

更多信息

使用限制

  • 证书支持在多个地域使用,每个地域最多可创建100个服务器证书和100个客户端CA证书。

  • 目前阿里云CLB支持的公钥算法:RSA 1024、RSA 2048RSA 4096。

  • 上传的证书格式必须是PEM。限制PEM证书文件中含有BEGIN DH PARAMETERS字段的字符串上传,因为HTTPS监听使用的ECDHE算法簇支持前向保密技术,不支持将DHE算法簇所需要的安全增强参数文件上传。

  • 证书不支持跨账号使用。若要在多个账号使用,需先在已创建证书的阿里云账号下载Nginx格式证书,再去需要创建证书的账号上传该证书

API文档