管理證書
在配置ALB單向認(rèn)證或雙向認(rèn)證業(yè)務(wù)時(shí),您需要在阿里云證書中心購買證書,或者將所需的第三方簽發(fā)的服務(wù)器證書和CA證書上傳至阿里云證書中心,ALB從證書中心獲取該證書并使用。
背景信息
ALB支持單向認(rèn)證和雙向認(rèn)證,請根據(jù)您的需要進(jìn)行選擇。
單向認(rèn)證:客戶端需要認(rèn)證服務(wù)端,而服務(wù)端不需要認(rèn)證客戶端。配置HTTPS監(jiān)聽和QUIC監(jiān)聽時(shí),需要為監(jiān)聽綁定服務(wù)器證書。
雙向認(rèn)證:客戶端需要認(rèn)證服務(wù)端,服務(wù)端也需要認(rèn)證客戶端,需要雙方都通過認(rèn)證,才能正常請求響應(yīng),以確保數(shù)據(jù)信息的安全。開啟雙向認(rèn)證后,為監(jiān)聽綁定服務(wù)器證書的同時(shí),還需要綁定CA證書來認(rèn)證客戶端。
使用限制
基礎(chǔ)版ALB實(shí)例不支持雙向認(rèn)證。
QUIC監(jiān)聽暫不支持雙向認(rèn)證。
HTTP監(jiān)聽不支持單向認(rèn)證和雙向認(rèn)證。
前提條件
您已經(jīng)創(chuàng)建標(biāo)準(zhǔn)版或WAF增強(qiáng)版的ALB實(shí)例,具體操作,請參見創(chuàng)建應(yīng)用型負(fù)載均衡。
您已經(jīng)創(chuàng)建可用的后端服務(wù)器組。具體操作,請參見創(chuàng)建和管理服務(wù)器組。
您已在證書中心購買并啟用子CA證書,且私有子CA的證書剩余數(shù)量不為0;或已上傳自簽名根CA或自簽名子根CA證書至證書中心。具體操作,請參見購買及啟用私有CA和上傳三方私有證書。
添加證書
- 登錄應(yīng)用型負(fù)載均衡ALB控制臺(tái)。
在頂部菜單欄處,選擇實(shí)例所屬的地域。
在實(shí)例頁面,找到目標(biāo)實(shí)例,單擊實(shí)例ID。
選擇以下一種方法,打開監(jiān)聽配置向?qū)А?
在實(shí)例頁面,在目標(biāo)實(shí)例操作列單擊創(chuàng)建監(jiān)聽。
在實(shí)例頁面,單擊目標(biāo)實(shí)例ID。在監(jiān)聽頁簽,單擊創(chuàng)建監(jiān)聽。
在配置監(jiān)聽配置向?qū)В瓿梢韵屡渲茫缓髥螕?b data-tag="uicontrol" id="uicontrol-rek-om9-hq2" class="uicontrol">下一步。
本文僅列舉強(qiáng)相關(guān)參數(shù),更多信息,請參見添加HTTPS監(jiān)聽。
監(jiān)聽配置
說明
選擇監(jiān)聽協(xié)議
選擇監(jiān)聽的協(xié)議類型。 您可以根據(jù)需要選擇HTTPS或QUIC。
說明QUIC監(jiān)聽暫不支持雙向認(rèn)證。
HTTP監(jiān)聽不支持單向認(rèn)證和雙向認(rèn)證。
本文選擇HTTPS。
監(jiān)聽端口
輸入用來接收請求并向后端服務(wù)器進(jìn)行請求轉(zhuǎn)發(fā)的監(jiān)聽端口,端口范圍為1~65535。通常HTTP協(xié)議使用80端口,HTTPS協(xié)議使用443端口。
本文輸入443。
監(jiān)聽名稱
輸入自定義監(jiān)聽名稱。
高級(jí)配置
單擊修改展開高級(jí)配置。
在配置SSL證書配置向?qū)Вx擇一個(gè)服務(wù)器證書。
如果您要開啟HTTPS雙向認(rèn)證或者設(shè)置TLS安全策略,單擊高級(jí)配置右側(cè)的修改。
開啟高級(jí)配置中的啟用雙向認(rèn)證。
選擇CA證書來源為阿里云簽發(fā),在選擇默認(rèn)CA證書下拉框中選擇一個(gè)CA證書。
如果沒有可選的CA證書,您可以在下拉框中單擊購買CA證書創(chuàng)建新證書。更多信息,請參見購買及啟用私有CA。
選擇CA證書來源為非阿里云簽發(fā),在選擇默認(rèn)CA證書下拉框中選擇一個(gè)CA證書。
如果沒有可選的自簽名CA證書,您可以在下拉框中單擊上傳自簽CA證書,在證書應(yīng)用倉庫頁面,創(chuàng)建數(shù)據(jù)來源為上傳CA證書的倉庫,然后通過證書應(yīng)用倉庫上傳自簽名根CA或自簽名子根CA證書。更多信息,請參見創(chuàng)建并管理證書應(yīng)用倉庫。
說明僅標(biāo)準(zhǔn)版和WAF增強(qiáng)版的ALB實(shí)例支持雙向認(rèn)證,基礎(chǔ)版ALB實(shí)例不支持雙向認(rèn)證。
開啟雙向認(rèn)證后,如果您后續(xù)需要關(guān)閉雙向認(rèn)證,請參考以下步驟。
在實(shí)例頁面,單擊目標(biāo)實(shí)例ID。
在監(jiān)聽頁簽,單擊目標(biāo)HTTPS協(xié)議監(jiān)聽ID。
在監(jiān)聽詳情頁簽,在SSL證書區(qū)域關(guān)閉雙向認(rèn)證開關(guān)。
選擇TLS安全策略,然后單擊下一步。
如果沒有可選的TLS安全策略,您可以在下拉框中單擊創(chuàng)建TLS安全策略。
TLS安全策略包含HTTPS可選的TLS協(xié)議版本和配套的加密算法套件,更多信息,請參見TLS安全策略。
在選擇服務(wù)器組配置向?qū)Вx擇服務(wù)器組,查看后端服務(wù)器信息,然后單擊下一步。
在配置審核配置向?qū)В_認(rèn)配置信息,然后單擊提交。
更多操作
- 登錄應(yīng)用型負(fù)載均衡ALB控制臺(tái)。
在頂部菜單欄處,選擇實(shí)例所屬的地域。
在實(shí)例頁面,找到目標(biāo)實(shí)例,單擊實(shí)例ID。
單擊監(jiān)聽頁簽,在目標(biāo)監(jiān)聽操作列單擊管理證書。
在監(jiān)聽證書頁簽,您可以根據(jù)需要進(jìn)行如下操作。
說明為避免證書過期對(duì)您的服務(wù)產(chǎn)生影響,請?jiān)谧C書過期前更換證書。
證書類別
操作
說明
服務(wù)器證書
更換監(jiān)聽默認(rèn)服務(wù)器證書
添加服務(wù)器擴(kuò)展證書
您可以通過添加擴(kuò)展證書增加監(jiān)聽關(guān)聯(lián)的證書。
刪除服務(wù)器擴(kuò)展證書
您可以刪除不需要的服務(wù)器擴(kuò)展證書,刪除后該證書將不再認(rèn)證后端服務(wù)器。
在服務(wù)器證書頁簽,找到目標(biāo)擴(kuò)展證書,在操作列單擊刪除。
在彈出的對(duì)話框中,單擊確定刪除。
CA證書
開啟或關(guān)閉雙向認(rèn)證
開啟雙向認(rèn)證:如果您創(chuàng)建的監(jiān)聽從未開啟過雙向認(rèn)證,您可以通過以下方式開啟雙向認(rèn)證。
單擊CA證書頁簽,打開雙向認(rèn)證開關(guān)或單擊點(diǎn)此開啟雙向認(rèn)證。
在啟用雙向認(rèn)證對(duì)話框中,根據(jù)業(yè)務(wù)選擇以下任一步驟完成操作。
選擇CA證書來源為阿里云簽發(fā),在選擇默認(rèn)CA證書下拉框中選擇一個(gè)CA證書,然后單擊確定。
如果沒有可選的CA證書,您可以在下拉框中單擊購買CA證書創(chuàng)建新證書。更多信息,請參見購買及啟用私有CA。
選擇CA證書來源為非阿里云簽發(fā),在選擇默認(rèn)CA證書下拉框中選擇一個(gè)CA證書,然后單擊確定。
如果沒有可選的自簽名CA證書,您可以在下拉框中單擊上傳自簽CA證書,在證書應(yīng)用倉庫頁面,創(chuàng)建數(shù)據(jù)來源為上傳CA證書的倉庫,然后通過證書應(yīng)用倉庫上傳自簽名根CA或自簽名子根CA證書。更多信息,請參見創(chuàng)建并管理證書應(yīng)用倉庫。
關(guān)閉雙向認(rèn)證:如果您創(chuàng)建的監(jiān)聽開啟過雙向認(rèn)證,您可以單擊CA證書頁簽,然后關(guān)閉雙向認(rèn)證開關(guān),關(guān)閉后該監(jiān)聽只支持單向認(rèn)證。
更換CA證書
單擊CA證書頁簽,找到監(jiān)聽默認(rèn)CA證書,在操作列單擊更換。
在更換默認(rèn)CA證書對(duì)話框中,根據(jù)業(yè)務(wù)選擇以下任一步驟完成操作。
選擇CA證書來源為阿里云簽發(fā),在選擇默認(rèn)CA證書下拉框中選擇一個(gè)CA證書,然后單擊確定。
如果沒有可選的CA證書,您可以在下拉框中單擊購買CA證書創(chuàng)建新證書。更多信息,請參見購買及啟用私有CA。
選擇CA證書來源為非阿里云簽發(fā),在選擇默認(rèn)CA證書下拉框中選擇一個(gè)CA證書,然后單擊確定。
如果沒有可選的自簽名CA證書,您可以在下拉框中單擊上傳自簽CA證書,在證書應(yīng)用倉庫頁面,創(chuàng)建數(shù)據(jù)來源為上傳CA證書的倉庫,然后通過證書應(yīng)用倉庫上傳自簽名根CA或自簽名子根CA證書。更多信息,請參見創(chuàng)建并管理證書應(yīng)用倉庫。
相關(guān)文檔
教程類:
如果您需要為ALB實(shí)例配置多域名HTTPS網(wǎng)站,請參見單ALB實(shí)例配置多域名HTTPS網(wǎng)站。
如果您需要使用ALB部署HTTPS雙向認(rèn)證業(yè)務(wù),請參見使用ALB部署HTTPS業(yè)務(wù)(雙向認(rèn)證)。
如果您需要使用ALB配置全鏈路HTTPS加密通信業(yè)務(wù),請參見配置全鏈路HTTPS訪問實(shí)現(xiàn)加密通信。
API類:
CreateListener:創(chuàng)建HTTP、HTTPS或QUIC監(jiān)聽。
AssociateAdditionalCertificatesWithListener:為HTTPS和QUIC監(jiān)聽添加擴(kuò)展證書。
DissociateAdditionalCertificatesFromListener:從HTTPS和QUIC監(jiān)聽移除擴(kuò)展證書。