使用CLB部署HTTPS業(yè)務(wù)(單向認(rèn)證)
您在開(kāi)發(fā)網(wǎng)站等業(yè)務(wù)系統(tǒng)時(shí),如果需要實(shí)現(xiàn)僅客戶端驗(yàn)證服務(wù)端身份的HTTPS單向認(rèn)證,可以參考本文在阿里云CLB中實(shí)現(xiàn)此功能。
前提條件
已創(chuàng)建CLB實(shí)例。具體操作,請(qǐng)參見(jiàn)創(chuàng)建和管理CLB實(shí)例。
已創(chuàng)建虛擬服務(wù)器組,服務(wù)器組中添加了ECS01和ECS02實(shí)例,并且在ECS01和ECS02中部署了不同的應(yīng)用服務(wù)。
已經(jīng)注冊(cè)域名并完成備案。具體操作,請(qǐng)參見(jiàn)注冊(cè)阿里云域名、ICP備案流程概述。
已購(gòu)買證書(shū)或者上傳第三方證書(shū)到SSL證書(shū)服務(wù)并綁定域名,請(qǐng)參見(jiàn)SSL證書(shū)快速上手。
步驟一:上傳服務(wù)器證書(shū)到CLB
在配置HTTPS監(jiān)聽(tīng)前,您需要購(gòu)買服務(wù)器證書(shū),并將服務(wù)器證書(shū)上傳到負(fù)載均衡的證書(shū)管理系統(tǒng)。
在左側(cè)導(dǎo)航欄,選擇。
在證書(shū)管理頁(yè)面,單擊創(chuàng)建證書(shū)。
在創(chuàng)建證書(shū)頁(yè)面配置以下信息,其他參數(shù)可保持默認(rèn)值或根據(jù)實(shí)際情況修改。完成后單擊創(chuàng)建。
配置
說(shuō)明
請(qǐng)選擇證書(shū)來(lái)源
本文選擇阿里云簽發(fā)證書(shū)。
證書(shū)列表
在下拉列表中選擇需要上傳的證書(shū)。
證書(shū)部署地域
選擇證書(shū)要部署的地域。證書(shū)不支持在未部署的地域使用。如果該證書(shū)需要在多個(gè)地域使用,選擇所有需要的地域。
步驟二:添加HTTPS監(jiān)聽(tīng)
在左側(cè)導(dǎo)航欄,選擇。
在頂部菜單欄處,選擇實(shí)例所屬的地域。
在實(shí)例管理頁(yè)面,找到目標(biāo)實(shí)例,然后在操作列單擊監(jiān)聽(tīng)配置向?qū)?/b>。
在協(xié)議&監(jiān)聽(tīng)頁(yè)面配置以下信息,其他參數(shù)可保持默認(rèn)值或根據(jù)實(shí)際情況修改。完成后單擊下一步。
配置
說(shuō)明
選擇監(jiān)聽(tīng)協(xié)議
選擇HTTPS。
監(jiān)聽(tīng)端口
本文配置示例為HTTPS默認(rèn)端口443。
在SSL證書(shū)頁(yè)面配置以下信息,其他參數(shù)可保持默認(rèn)值或根據(jù)實(shí)際情況修改。完成后單擊下一步。
配置
說(shuō)明
選擇服務(wù)器證書(shū)
選擇步驟一中上傳的服務(wù)器證書(shū)。
在后端服務(wù)器頁(yè)面配置以下信息,其他參數(shù)可保持默認(rèn)值或根據(jù)實(shí)際情況修改。完成后單擊下一步。
配置
說(shuō)明
請(qǐng)選擇將監(jiān)聽(tīng)請(qǐng)求轉(zhuǎn)發(fā)至哪類后端服務(wù)器
選擇虛擬服務(wù)器組。
選擇服務(wù)器組
選擇此前已創(chuàng)建好的虛擬服務(wù)器組。
在健康檢查頁(yè)面,參數(shù)可保持默認(rèn)值或根據(jù)實(shí)際情況修改。完成后單擊下一步。
在配置審核頁(yè)面,檢查配置參數(shù)是否有誤,無(wú)誤的話單擊提交,等待監(jiān)聽(tīng)創(chuàng)建完成。
步驟三:配置域名解析
在頂部菜單欄選擇地域。
選擇要進(jìn)行域名解析的CLB實(shí)例,復(fù)制其對(duì)應(yīng)的公網(wǎng)服務(wù)地址。
完成以下步驟來(lái)添加A解析記錄。
登錄域名解析控制臺(tái)。
在域名解析頁(yè)面單擊添加域名。
在添加域名對(duì)話框中輸入您的主機(jī)域名,然后單擊確認(rèn)。
重要您的主機(jī)域名需已完成TXT記錄驗(yàn)證。
在目標(biāo)域名的操作列單擊解析設(shè)置。
在解析設(shè)置頁(yè)面單擊添加記錄。
在添加記錄面板配置以下信息完成A記錄解析配置,然后單擊確認(rèn)。
配置
說(shuō)明
記錄類型
在下拉列表中選擇A。
主機(jī)記錄
您的域名的前綴。
解析請(qǐng)求來(lái)源
選擇默認(rèn)。
記錄值
記錄值為IP地址,即您復(fù)制的CLB實(shí)例的公網(wǎng)服務(wù)地址。
TTL
全稱Time To Live,表示DNS記錄在DNS服務(wù)器上的緩存時(shí)間,本文使用默認(rèn)值。
步驟四:測(cè)試負(fù)載均衡服務(wù)
在瀏覽器中輸入CLB對(duì)應(yīng)綁定的域名,并多次刷新頁(yè)面,您可以看到正通過(guò)HTTPS協(xié)議訪問(wèn)后端服務(wù),且請(qǐng)求在兩臺(tái)ECS之間轉(zhuǎn)換。
相關(guān)文檔
如您需要使用非阿里云簽發(fā)證書(shū),證書(shū)要求可參考證書(shū)要求,證書(shū)上傳相關(guān)注意事項(xiàng)可參考上傳非阿里云簽發(fā)證書(shū)。
添加HTTPS監(jiān)聽(tīng)詳細(xì)操作可參考添加HTTPS監(jiān)聽(tīng)。
如您有更高的安全需求,您可參考使用CLB部署HTTPS業(yè)務(wù)(雙向認(rèn)證),實(shí)現(xiàn)對(duì)服務(wù)器和客戶端的雙向HTTPS認(rèn)證,為您的業(yè)務(wù)提供更高的安全性。