在配置TCPSSL监听时,您需要在阿里云证书中心购买证书,或者将所需的第三方签发的服务器证书和CA证书上传至阿里云证书中心,NLB从证书中心获取证书并使用。
背景信息
NLB支持单向认证和双向认证。
单向认证:客户端需要认证服务器端,而服务器端不需要认证客户端。客户端从服务器端请求服务器端公钥证书进行验证,然后建立安全通信通道。配置TCPSSL监听时,需要为监听绑定服务器证书。
双向认证:客户端需要从服务器端请求服务器的公钥证书进行验证,同时还需要把客户端的公钥证书上传至服务器端进行验证,双方都通过认证,才能建立安全通信通道进行数据传输。开启双向认证后,为监听绑定服务器证书的同时,还需要绑定CA证书来认证客户端。
如果您有多域名访问或挂载多个服务器证书的需求,配置完TCPSSL监听后,您可以选择为该TCPSSL监听添加扩展证书。具体操作,请参见本文管理服务器证书和CA证书。
前提条件
您已经创建NLB实例。
您已经创建可用的创建服务器组。
准备服务器证书。您已在证书中心购买SSL证书(额度)或上传服务器证书。
准备客户端证书。您已在证书中心购买并启用子CA证书,且私有子CA的证书剩余数量不为0;或已上传自签名根CA或自签名子根CA证书至证书中心。具体操作,请参见管理证书应用仓库中的证书。
添加证书
登录网络型负载均衡NLB控制台,在顶部菜单栏选择实例地域。
在实例页面,找到目标实例,在操作列单击创建监听。
在配置监听配置向导页面,完成参数的配置,然后单击下一步。
此处仅列出和添加证书强相关的参数,其余参数的配置请参见创建TCPSSL监听。
选择监听协议:本文选择TCPSSL。
在配置SSL证书配置向导页面,在选择服务器证书下拉框中选择一个服务器证书。
如果没有可选的服务器证书,在下拉框中单击创建证书进入证书中心购买SSL证书(额度)或上传服务器证书。
可选:开启高级配置中的启用双向认证,详细步骤请参见开启双向认证。单向认证无需执行该步骤。
选择TLS安全策略,单击下一步。
如果没有可选的TLS安全策略,您可以在下拉框中单击创建TLS安全策略。更多信息,请参见TLS安全策略。
在选择服务器组配置向导,选择后端服务器组,单击下一步,确认配置信息,单击提交。
双向认证配置
开启双向认证
在配置SSL证书配置向导中,开启高级配置中的启用双向认证。
选择CA证书来源为阿里云签发,在选择默认CA证书下拉框中选择一个CA证书。
如果没有可选的CA证书,您可以在下拉框中单击购买CA证书创建新证书。
选择CA证书来源为非阿里云签发,在选择默认CA证书下拉框中选择一个CA证书。
如果没有可选的自签名CA证书,您可以在下拉框中单击上传自签CA证书,在证书应用仓库页面,创建数据来源为上传CA证书的仓库,然后通过证书应用仓库上传自签名根CA或自签名子根CA证书。
关闭双向认证
在实例页面,单击目标实例ID。
在监听页签,单击目标TCPSSL协议监听ID。
在监听详情页签,在SSL证书区域关闭双向认证开关。
管理服务器证书和CA证书
- 登录网络型负载均衡NLB控制台。
在顶部菜单栏,选择NLB实例所属的地域。
在实例页面,找到目标NLB实例,单击实例ID。
在实例详情页面,单击监听页签,找到目标TCPSSL监听,在操作列单击管理证书。
在监听证书页签,执行以下操作管理证书。
说明请在证书过期前更换证书,以免影响服务。
证书类别
操作
说明
服务器证书
更换监听默认服务器证书
添加扩展证书
您可以通过添加扩展证书增加监听关联的证书。每个实例最多支持添加25个扩展证书,单次最多支持添加15个扩展证书。
删除扩展证书
您可以删除不需要的服务器扩展证书,删除后该证书将不再认证后端服务器。
在服务器证书页签,找到目标扩展证书,在操作列单击删除。
在弹出的对话框中,单击确定删除。
CA证书
开启双向认证
单击CA证书页签,打开双向认证开关或单击点此开启双向认证。
说明您也可以在监听详情页签的SSL证书区域,开启双向认证。
在弹出的对话框中,完成选择CA证书来源和选择默认CA证书参数的配置,然后单击确定。
选择阿里云签发的证书时,如果没有可用的CA证书,您可以在证书下拉框中单击购买证书创建新证书。
选择非阿里云签发的证书时,如果没有可选的自签名CA证书,您可以在下拉框中单击上传自签CA证书,在证书应用仓库页面,创建数据来源为上传CA证书的仓库,然后通过证书应用仓库上传自签名根CA或自签名子根CA证书。更多信息,请参见管理证书应用仓库中的证书。
更换CA证书
单击CA证书页签,找到目标证书,在操作列单击更换。
在弹出的对话框中,完成选择CA证书来源和选择默认CA证书参数的配置,然后单击确定。
选择阿里云签发的证书时,如果没有可用的CA证书,您可以在证书下拉框中单击购买证书创建新证书。
选择非阿里云签发的证书时,如果没有可选的自签名CA证书,您可以在下拉框中单击上传自签CA证书,在证书应用仓库页面,创建数据来源为上传CA证书的仓库,然后通过证书应用仓库上传自签名根CA或自签名子根CA证书。更多信息,请参见管理证书应用仓库中的证书。
关闭双向认证
单击CA证书页签,然后关闭双向认证开关,关闭后该监听只支持单向认证。
相关文档
教程类:
如果您需要在流量入口部署NLB并配置SSL证书,实现TCPSSL卸载(单向认证),请参见通过NLB实现TCPSSL卸载(单向认证)。
如果您需要在流量入口部署NLB并配置SSL证书和CA证书,实现TCPSSL卸载(双向认证),请参见通过NLB实现TCPSSL卸载(双向认证)。
API类:
CreateListener:创建TCPSSL监听。
AssociateAdditionalCertificatesWithListener:为TCPSSL监听添加扩展证书。
DisassociateAdditionalCertificatesWithListener:从TCPSSL监听移除扩展证书。