配置HTTPS监听时,为了确保CLB传输的数据安全,您可以直接使用SSL证书服务中的证书或者将所需的第三方签发的服务器证书和CA证书上传到CLB。
CLB支持两种来源的证书:
阿里云SSL证书服务:从阿里云SSL证书服务选择,可实现证书到期提醒和一键续期(暂未支持客户端CA证书)。
第三方签发的证书:需上传公钥和私钥文件,支持HTTPS服务器证书及客户端CA证书。
证书说明
添加HTTPS监听,您需要上传服务器证书或CA证书,证书对比如下表所示。
证书 | 说明 | 单向认证是否需要 | 双向认证是否需要 |
服务器证书 | 用来证明服务器的身份。 您的浏览器用来检查服务器发送的证书是否是由您信赖的中心签发的。更多信息,请参见什么是SSL证书。 | 是 服务器证书需要上传到负载均衡的证书管理。 | 是 服务器证书需要上传到负载均衡的证书管理系统。 |
CA 证书 | 服务器使用CA证书验证客户端证书的签名。如果未通过验证,则拒绝连接。更多信息,请参见生成CA证书。 说明 客户端用户在与服务器端通信时,客户端证书用来证明客户端用户的真实身份。客户端证书仅需要在客户端安装。 | 否 | 是 CA证书需要上传到负载均衡的证书管理系统。 |
注意事项
在创建证书前,请注意:
地域和数量限制
如果证书要在多个地域使用,需选择多个地域。
每个地域最多可创建100个服务器证书和100个客户端CA证书。
证书上传限制
目前阿里云CLB支持的公钥算法:RSA 1024、RSA 2048和RSA 4096。
上传的证书格式必须是PEM。更多信息,请参见转换证书格式。
HTTPS监听使用的ECDHE算法簇支持前向保密技术,不支持将DHE算法簇所需要的安全增强参数文件上传,即限制PEM证书文件中含有
BEGIN DH PARAMETERS字段的字符串上传。更多信息,请参见证书要求和转换证书格式。
证书管理
证书上传到CLB后,CLB即可管理证书,不需要在后端服务器上绑定证书。
因为证书的上传、加载和验证都需要一些时间,所以使用HTTPS协议的实例生效也需要一些时间。一般一分钟后就会生效,最长不会超过三分钟。
前提条件
操作步骤
选择阿里云签发证书
- 登录传统型负载均衡CLB控制台。
在左侧导航栏,选择。
在证书管理页面,单击创建证书。
在创建证书面板,选择阿里云签发证书,从证书列表中选择使用的SSL证书,并选择证书部署地域。
证书不支持跨地域使用。如果该证书需要在多个地域使用,选择所有需要的地域。
单击创建。 返回证书管理页面查看已经创建的证书。
上传非阿里云签发证书
- 登录传统型负载均衡CLB控制台。
在左侧导航栏,选择。
在证书管理页面,单击创建证书。
在创建证书面板,选择上传非阿里云签发证书,完成以下配置后单击创建。
配置
说明
证书类型
选择要上传的证书类型:
服务器证书:配置HTTPS单向认证,只需要上传服务器证书和私钥。
CA证书:配置HTTPS双向认证,除了上传服务器证书外,还需要上传CA证书。
公钥证书
复制服务器或者CA证书内容,公钥证书包含证书的公钥和签名等信息。
CLB使用Nginx格式的证书,通常从证书提供商获取到的Nginx格式的证书文件,以.pem为后缀,也有可能以.crt或其他为后缀。
单击查看样例查看正确的证书样式。详情参见证书要求。
私钥
复制服务器证书的私钥内容,通常从证书提供商获取到Nginx格式的证书文件,以.key为后缀。
单击查看样例查看正确的证书样式。详情参见私钥格式要求。
重要只有上传服务器证书时,才需要上传私钥。
证书部署地域
选择证书的部署地域。
证书不支持在未部署的地域使用。如果该证书需要在多个地域使用,选择所有需要的地域。
相关问题
支持跨账号使用SSL证书吗?
不支持。
解决方案:
步骤一:使用已创建SSL证书的阿里云账号,登录SSL证书控制台,下载Nginx格式证书。
步骤二:使用需要创建SSL证书的阿里云账号,登录SSL证书控制台,上传该证书。
步骤三:登录传统型负载均衡CLB控制台,进行证书的创建和部署。具体操作,请参见选择阿里云签发证书和添加HTTPS监听。