在配置TCPSSL監聽時,您需要在阿里云證書中心購買證書,或者將所需的第三方簽發的服務器證書和CA證書上傳至阿里云證書中心,NLB從證書中心獲取證書并使用。
背景信息
NLB支持單向認證和雙向認證,請根據您的需要進行選擇。
單向認證:客戶端需要認證服務器端,而服務器端不需要認證客戶端。客戶端從服務器端請求服務器端公鑰證書進行驗證,然后建立安全通信通道。配置TCPSSL監聽時,需要為監聽綁定服務器證書。
雙向認證:客戶端需要從服務器端請求服務器的公鑰證書進行驗證,同時還需要把客戶端的公鑰證書上傳至服務器端進行驗證,雙方都通過認證,才能建立安全通信通道進行數據傳輸。開啟雙向認證后,為監聽綁定服務器證書的同時,還需要綁定CA證書來認證客戶端。
如果您有多域名訪問或掛載多個服務器證書的需求,配置完TCPSSL監聽后,您可以選擇為該TCPSSL監聽添加擴展證書。具體操作,請參見本文更多操作。
前提條件
添加證書
- 登錄網絡型負載均衡NLB控制臺。
在頂部菜單欄,選擇NLB實例所屬的地域。
在實例頁面,找到目標實例,選擇以下一種方法,打開監聽配置向導。
在操作列單擊創建監聽。
單擊實例ID,然后單擊監聽頁簽,在監聽頁簽,單擊監聽列表上方的創建監聽。
單擊實例ID,在實例詳情頁單擊配置向導中的創建監聽。
單擊實例ID,在實例詳情頁的右上角單擊創建監聽。
在配置監聽配置向導頁面,完成參數的配置,然后單擊下一步。
此處僅列出和添加證書強相關的參數,其余參數的配置請參見創建TCPSSL監聽。
選擇監聽協議:本文選擇TCPSSL。
在配置SSL證書配置向導頁面,在選擇服務器證書下拉框中選擇一個服務器證書。
可選:開啟高級配置中的啟用雙向認證。
單向認證無需執行該步驟。
選擇CA證書來源為阿里云簽發,在選擇默認CA證書下拉框中選擇一個CA證書。
如果沒有可選的CA證書,您可以在下拉框中單擊購買CA證書創建新證書。更多信息,請參見購買及啟用私有CA。
選擇CA證書來源為非阿里云簽發,在選擇默認CA證書下拉框中選擇一個CA證書。
如果沒有可選的自簽名CA證書,您可以在下拉框中單擊上傳自簽CA證書,在證書應用倉庫頁面,創建數據來源為上傳CA證書的倉庫,然后通過證書應用倉庫上傳自簽名根CA或自簽名子根CA證書。更多信息,請參見上傳三方私有證書。
說明開啟雙向認證后,如果您后續需要關閉雙向認證,請參考以下步驟。
在實例頁面,單擊目標實例ID。
在監聽頁簽,單擊目標TCPSSL協議監聽ID。
在監聽詳情頁簽,在SSL證書區域關閉雙向認證開關。
選擇TLS安全策略,單擊下一步。
如果沒有可選的TLS安全策略,您可以在下拉框中單擊創建TLS安全策略。更多信息,請參見TLS安全策略。
在選擇服務器組配置向導頁面,選擇服務器類型及服務器類型下的后端服務器組,查看后端服務器信息,然后單擊下一步。
在配置審核配置向導頁面,確認配置信息,單擊提交。
更多操作
- 登錄網絡型負載均衡NLB控制臺。
在頂部菜單欄,選擇NLB實例所屬的地域。
在實例頁面,找到目標NLB實例,單擊實例ID。
在實例詳情頁面,單擊監聽頁簽,找到目標TCPSSL監聽,選擇以下一種方式管理證書。
在操作列單擊管理證書。
單擊監聽ID,在監聽詳情頁簽的SSL證書區域,單擊管理證書。
在監聽證書頁簽,執行以下操作管理證書。
說明為避免證書過期對您的服務影響,請在證書過期前更換證書。
證書類別
操作
說明
服務器證書
更換監聽默認服務器證書
添加擴展證書
您可以通過添加擴展證書增加監聽關聯的證書。每個實例最多支持添加25個擴展證書,單次最多支持添加15個擴展證書。
刪除擴展證書
您可以刪除不需要的服務器擴展證書,刪除后該證書將不再認證后端服務器。
在服務器證書頁簽,找到目標擴展證書,在操作列單擊刪除。
在彈出的對話框中,單擊確定刪除。
CA證書
開啟雙向認證
更換CA證書
關閉雙向認證
單擊CA證書頁簽,然后關閉雙向認證開關,關閉后該監聽只支持單向認證。
相關文檔
教程類:
如果您需要在流量入口部署NLB并配置SSL證書,實現TCPSSL卸載(單向認證),請參見通過NLB實現TCPSSL卸載(單向認證)。
如果您需要在流量入口部署NLB并配置SSL證書和CA證書,實現TCPSSL卸載(雙向認證),請參見通過NLB實現TCPSSL卸載(雙向認證)。
API類:
CreateListener:創建TCPSSL監聽。
AssociateAdditionalCertificatesWithListener:為TCPSSL監聽添加擴展證書。
DisassociateAdditionalCertificatesWithListener:從TCPSSL監聽移除擴展證書。