使用限制

• 基礎版ALB實例不支持自定義TLS安全策略，僅標準版、WAF增強版ALB實例支持自定義TLS安全策略。基礎版實例如需使用該功能，需要升級ALB實例版本，可參考ALB實例變配。

• 當您自定義TLS安全策略選擇特定版本的TLS協(xié)議、特定的加密算法套件時，需要確?？蛻舳耍ɡ鐬g覽器）同時支持對應協(xié)議與加密算法套件，否則有可能導致客戶端與服務端建立連接失敗從而影響用戶正常訪問。

前提條件

• 已創(chuàng)建ALB實例。具體操作，請參見創(chuàng)建應用型負載均衡。

• 已創(chuàng)建服務器組。具體操作，請參見創(chuàng)建和管理服務器組。

• 已在服務器組中分別添加ECS01和ECS02實例，并在ECS01和ECS02中部署了應用服務。

• 已經(jīng)注冊域名并完成備案。具體操作，請參見注冊阿里云域名、ICP備案流程概述。

• 已購買證書或者上傳第三方證書到SSL證書服務并綁定域名。關于創(chuàng)建證書，請參見SSL證書快速上手。

步驟一：創(chuàng)建自定義TLS安全策略

1. 登錄應用型負載均衡ALB控制臺。

2. 在頂部菜單欄，選擇實例所屬的地域。

3. 在左側導航欄，選擇TLS安全策略。

4. 單擊自定義策略頁簽下的創(chuàng)建自定義策略。

5. 根據(jù)您的業(yè)務需求填寫對應的安全策略名稱，選擇TLS協(xié)議最低版本、加密算法套件等信息，參數(shù)詳細介紹可參考自定義策略。完成后單擊創(chuàng)建。

步驟二：在HTTPS監(jiān)聽中應用自定義TLS安全策略

步驟三：配置域名解析

1. 登錄應用型負載均衡ALB控制臺。

2. 在頂部菜單欄選擇地域。

3. 選擇要進行域名解析的ALB實例，復制其對應的DNS名稱。

4. 完成以下步驟來添加CNAME解析記錄。

   1. 登錄域名解析控制臺。

   2. 在域名解析頁面單擊添加域名。

   3. 在添加域名對話框中輸入您的主機域名，然后單擊確認。

      重要

      您的主機域名需已完成TXT記錄驗證。

   4. 在目標域名的操作列單擊解析設置。

   5. 在解析設置頁面單擊添加記錄。

   6. 在添加記錄面板配置以下信息完成CNAME解析配置，然后單擊確認。

      配置	說明
      記錄類型	在下拉列表中選擇CNAME。
      主機記錄	您的域名的前綴，例如www。
      解析請求來源	選擇默認。
      記錄值	輸入域名對應的CNAME地址，即您復制的ALB實例的DNS名稱。
      TTL	全稱Time To Live，表示DNS記錄在DNS服務器上的緩存時間，本文使用默認值。

步驟四：結果驗證

在瀏覽器中輸入ALB對應綁定的域名，并多次刷新頁面，您可以看到請求正通過HTTPS協(xié)議訪問后端服務，且請求在兩臺ECS之間轉換。

相關文檔

• 添加HTTPS監(jiān)聽操作詳細信息和注意事項，可參考添加HTTPS監(jiān)聽。

• TLS安全策略詳情、系統(tǒng)默認策略、默認策略差異等信息可參考TLS安全策略。

• 當您需要在同一個監(jiān)聽中將不同域名的HTTPS訪問請求轉發(fā)至不同的后端服務器，您可參考單ALB實例配置多域名HTTPS網(wǎng)站實現(xiàn)多域名HTTPS網(wǎng)站。

• 如果您想實現(xiàn)客戶端到ALB、ALB到后端服務器之間的全鏈路加密通信，提升敏感業(yè)務的安全性，您可參考配置全鏈路HTTPS訪問實現(xiàn)加密通信。

• 當您在處理一些關鍵業(yè)務時，希望使用HTTPS雙向認證，通過對客戶端服務端通信雙方做認證，為您的業(yè)務提供更高的安全性，您可參考使用ALB部署HTTPS業(yè)務（雙向認證）。