ALB通过自定义TLS安全策略提升网站安全等级

用户在阿里云上部署的网站或应用程序对互联网提供服务时,通常会配置HTTPS加密以确保数据的安全传输。针对HTTPS场景,ALB预置了部分常用的TLS安全策略以满足通用需求,但当您有特定的安全或合规需求时,例如需要仅支持特定版本的TLS协议、禁用某些加密算法套件等,您可在ALB自定义TLS安全策略并配置到监听中,从而进一步提升业务的安全性。

使用限制

  • 基础版ALB实例不支持自定义TLS安全策略,仅标准版、WAF增强版ALB实例支持自定义TLS安全策略。基础版实例如需使用该功能,需要升级ALB实例版本,可参考ALB实例变配

  • 当您自定义TLS安全策略选择特定版本的TLS协议、特定的加密算法套件时,需要确保客户端(例如浏览器)同时支持对应协议与加密算法套件,否则有可能导致客户端与服务端建立连接失败从而影响用户正常访问。

前提条件

步骤一:创建自定义TLS安全策略

  1. 登录应用型负载均衡ALB控制台

  2. 在顶部菜单栏,选择实例所属的地域。

  3. 在左侧导航栏,选择TLS安全策略

  4. 单击自定义策略页签下的创建自定义策略

  5. 根据您的业务需求填写对应的安全策略名称,选择TLS协议最低版本、加密算法套件等信息,参数详细介绍可参考自定义策略。完成后单击创建

步骤二:在HTTPS监听中应用自定义TLS安全策略

新建HTTPS监听

  1. 登录应用型负载均衡ALB控制台

  2. 在顶部菜单栏,选择实例所属的地域。

  3. 在左侧导航栏,选择实例

  4. 实例页面,找到目标实例,然后在操作列单击创建监听

  5. 配置监听页面配置以下信息,其他参数可保持默认值或根据实际情况修改。完成后单击下一步

    配置

    说明

    选择监听协议

    选择HTTPS

    监听端口

    本文配置端口443。

  6. 配置SSL证书页面配置以下信息,其他参数可保持默认值或根据实际情况修改。完成后单击下一步

    配置

    说明

    选择服务器证书

    选择准备的服务器证书。

    TLS安全策略

    选择步骤一创建的自定义策略。

  7. 选择服务器组页面配置以下信息,其他参数可保持默认值或根据实际情况修改。完成后单击下一步

    配置

    说明

    选择服务器组

    选择此前已创建好的服务器组。

  8. 配置审核页面,检查配置参数是否有误,无误的话单击提交,等待监听创建完成。

已有HTTPS监听

  1. 登录应用型负载均衡ALB控制台

  2. 在顶部菜单栏,选择实例所属的地域。

  3. 在左侧导航栏,选择实例

  4. 实例页面,找到目标实例,然后单击实例ID。

  5. 监听页签,找到目标HTTPS监听,然后单击监听ID。

  6. SSL证书区域,单击TLS安全策略后的编辑图标。

  7. 编辑TLS安全策略对话框,选择已创建的自定义TLS安全策略,然后单击保存

步骤三:配置域名解析

  1. 登录应用型负载均衡ALB控制台

  2. 在顶部菜单栏选择地域。

  3. 选择要进行域名解析的ALB实例,复制其对应的DNS名称。

  4. 完成以下步骤来添加CNAME解析记录。

    1. 登录域名解析控制台

    2. 域名解析页面单击添加域名

    3. 添加域名对话框中输入您的主机域名,然后单击确认

      重要

      您的主机域名需已完成TXT记录验证。

    4. 在目标域名的操作列单击解析设置

    5. 解析设置页面单击添加记录

    6. 添加记录面板配置以下信息完成CNAME解析配置,然后单击确认

      配置

      说明

      记录类型

      在下拉列表中选择CNAME

      主机记录

      您的域名的前缀,例如www

      解析请求来源

      选择默认。

      记录值

      输入域名对应的CNAME地址,即您复制的ALB实例的DNS名称。

      TTL

      全称Time To Live,表示DNS记录在DNS服务器上的缓存时间,本文使用默认值。

步骤四:结果验证

在浏览器中输入ALB对应绑定的域名,并多次刷新页面,您可以看到请求正通过HTTPS协议访问后端服务,且请求在两台ECS之间转换。

ECS01ECS02

相关文档