ALB配置证书_负载均衡(SLB)-阿里云帮助中心

在配置ALB单向认证或双向认证业务时，您需要在阿里云证书中心购买证书，或者将所需的第三方签发的服务器证书和CA证书上传至阿里云证书中心，ALB从证书中心获取该证书并使用。

背景信息

ALB支持单向认证和双向认证，请根据您的需要进行选择。

单向认证：客户端需要认证服务端，而服务端不需要认证客户端。配置HTTPS监听和QUIC监听时，需要为监听绑定服务器证书。
双向认证：客户端需要认证服务端，服务端也需要认证客户端，需要双方都通过认证，才能正常请求响应，以确保数据信息的安全。开启双向认证后，为监听绑定服务器证书的同时，还需要绑定CA证书来认证客户端。

使用限制

基础版ALB实例不支持双向认证。
QUIC监听暂不支持双向认证。
HTTP监听不支持单向认证和双向认证。

证书类型

ALB目前支持的证书类型为国际标准证书（RSA/ECC）。

监听类型	证书类型	证书认证方式
监听类型	证书类型	单向认证	双向认证

监听类型	证书类型	证书认证方式
监听类型	证书类型	单向认证	双向认证
HTTPS	RSA和ECC单证书配置	支持	支持
HTTPS	RSA和ECC双证书配置	支持	支持
QUIC	RSA和ECC单证书配置	支持	不支持
QUIC	RSA和ECC双证书配置	支持	不支持
HTTP	不支持配置证书

前提条件

您已创建ALB实例（标准版或WAF增强版）。
您已创建可用的后端服务器组。
您已在证书中心购买或上传服务器证书。
您已在证书中心购买及启用子CA证书，且私有子CA的证书剩余数量不为0；或已上传自签名根CA或自签名子根CA证书至证书中心。

添加证书

登录应用型负载均衡ALB控制台。
在顶部菜单栏处，选择实例所属的地域。
在实例页面，找到目标实例，单击实例ID。
选择以下一种方法，打开监听配置向导。
- 在实例页面，在目标实例操作列单击创建监听。
- 在实例页面，单击目标实例ID。在监听页签，单击创建监听。

在配置监听配置向导，完成以下配置，然后单击下一步。

本文仅列举强相关参数，更多信息，请参见添加HTTPS监听。

监听配置	说明

监听配置	说明
选择监听协议	选择监听的协议类型。您可以根据需要选择HTTPS或QUIC。说明 QUIC监听暂不支持双向认证。 HTTP监听不支持单向认证和双向认证。本文选择HTTPS。
监听端口	输入用来接收请求并向后端服务器进行请求转发的监听端口，端口范围为1~65535。通常HTTP协议使用80端口，HTTPS协议使用443端口。本文输入`443`。
监听名称	输入自定义监听名称。
高级配置	单击修改展开高级配置。

在配置SSL证书配置向导，选择一个服务器证书。
如果没有可选的服务器证书，您可以在下拉框中单击创建SSL证书进入证书中心，在证书中心购买或上传服务器证书。
如果您要开启HTTPS双向认证或者设置TLS安全策略，单击高级配置右侧的修改。
开启高级配置中的启用双向认证。
- 选择CA证书来源为阿里云签发，在选择默认CA证书下拉框中选择一个CA证书。
  如果没有可选的CA证书，您可以在下拉框中单击购买CA证书，以创建新CA证书。
- 选择CA证书来源为非阿里云签发，在选择默认CA证书下拉框中选择一个CA证书。
  如果没有可选的自签名CA证书，您可以在下拉框中单击上传自签CA证书，在证书应用仓库页面，创建数据来源为上传CA证书的仓库，然后通过证书应用仓库上传自签名根CA或自签名子根CA证书。
说明
- 仅标准版和WAF增强版的ALB实例支持双向认证，基础版ALB实例不支持双向认证。
- 开启双向认证后，如果您后续需要关闭双向认证，请参考以下步骤。
  在实例页面，单击目标实例ID。
  在监听页签，单击目标HTTPS协议监听ID。
  在监听详情页签，在SSL证书区域关闭双向认证开关。
选择TLS安全策略，然后单击下一步。
如果没有可选的TLS安全策略，您可以在下拉框中单击创建TLS安全策略。
TLS安全策略包含HTTPS可选的TLS协议版本和配套的加密算法套件。
在选择服务器组配置向导，选择服务器组，查看后端服务器信息，然后单击下一步。
在配置审核配置向导，确认配置信息，然后单击提交。

更多操作

登录应用型负载均衡ALB控制台。
在顶部菜单栏处，选择实例所属的地域。
在实例页面，找到目标实例，单击实例ID。
单击监听页签，在目标监听操作列单击管理证书。

在监听证书页签，您可以根据需要进行如下操作。

说明

为避免证书过期对您的服务产生影响，请在证书过期前更换证书。

证书类别	操作	说明

证书类别	操作	说明
服务器证书	更换监听默认服务器证书	在服务器证书页签，找到监听默认服务器证书，在操作列单击更换。在弹出的对话框，选择服务器证书，单击确定。如果没有可选的服务器证书，您可以在下拉框中单击创建SSL证书进入证书中心，在证书中心购买或上传服务器证书。
	添加服务器扩展证书	您可以通过添加扩展证书增加监听关联的证书。在服务器证书页签，单击添加扩展证书。在添加扩展证书对话框中，选择服务器证书，然后单击确定。如果没有可选的服务器证书，您可以在右上角单击购买证书进入证书中心，在证书中心购买或上传服务器证书。
	删除服务器扩展证书	您可以删除不需要的服务器扩展证书，删除后该证书将不再认证后端服务器。在服务器证书页签，找到目标扩展证书，在操作列单击删除。在弹出的对话框中，单击确定删除。
CA证书	开启或关闭双向认证	开启双向认证：如果您创建的监听从未开启过双向认证，您可以通过以下方式开启双向认证。单击CA证书页签，打开双向认证开关或单击点此开启双向认证。在启用双向认证对话框中，根据业务选择以下任一步骤完成操作。选择CA证书来源为阿里云签发，在选择默认CA证书下拉框中选择一个CA证书，然后单击确定。如果没有可选的CA证书，您可以在下拉框中单击购买CA证书，以创建新CA证书。选择CA证书来源为非阿里云签发，在选择默认CA证书下拉框中选择一个CA证书，然后单击确定。如果没有可选的自签名CA证书，您可以在下拉框中单击上传自签CA证书，在证书应用仓库页面，创建数据来源为上传CA证书的仓库，然后通过证书应用仓库上传自签名根CA或自签名子根CA证书。关闭双向认证：如果您创建的监听开启过双向认证，您可以单击CA证书页签，然后关闭双向认证开关，关闭后该监听只支持单向认证。
CA证书	更换CA证书	单击CA证书页签，找到监听默认CA证书，在操作列单击更换。在更换默认CA证书对话框中，根据业务选择以下任一步骤完成操作。选择CA证书来源为阿里云签发，在选择默认CA证书下拉框中选择一个CA证书，然后单击确定。如果没有可选的CA证书，您可以在下拉框中单击购买CA证书，以创建新CA证书。选择CA证书来源为非阿里云签发，在选择默认CA证书下拉框中选择一个CA证书，然后单击确定。如果没有可选的自签名CA证书，您可以在下拉框中单击上传自签CA证书，在证书应用仓库页面，创建数据来源为上传CA证书的仓库，然后通过证书应用仓库上传自签名根CA或自签名子根CA证书。