全部产品
Search

搜索本产品

    负载均衡:ALB配置国密HTTPS实现安全通信

    文档中心

    负载均衡:ALB配置国密HTTPS实现安全通信

    更新时间:Mar 16, 2026

    ALB支持配置SM2国密证书和包含国密加密套件的自定义TLS安全策略,使国密浏览器能够通过TLCP协议安全访问业务,实现符合国家密码标准的HTTPS加密通信,满足金融、政务等行业的等保三级合规要求。

    适用范围

    • 国密证书功能默认不开放,用户可前往配额中心自主申请权益配额。

    • 用户已注册自定义域名,本文计划将ALB实例部署于华东2(上海)地域,因此域名需要完成ICP备案

    • 用户已在数字证书管理服务购买上传SM2算法的国密证书,证书需匹配已备案的自定义域名。

    • 用户已在华东2(上海)地域创建一个专有网络VPC1,分别在可用区E和可用区F创建交换机VSW1VSW2

    操作步骤

    1. 创建ECS实例并部署服务

    1. 参考下表配置,创建ECS实例。

      • 实例名称ECS01

      • 地域华东2(上海)

      • VPCVPC1

      • 交换机VSW1

      • 镜像Alibaba Cloud Linux 3.2104 LTS 64位

    2. 远程连接ECS01。执行以下命令,部署Nginx服务。

      sudo yum install -y nginx
sudo systemctl start nginx
echo "Hello from ECS backend" | sudo tee /usr/share/nginx/html/index.html

    3. 在ECS实例所属安全组添加入方向规则,放行请求流量。请确保规则具备足够高的优先级。

      • 授权策略:允许

      • 协议自定义TCP

      • 访问来源选择IPv4后,选择本VPC网段

      • 访问目的(本实例)选择端口后,选择HTTP(80)

    相关操作,可参考自定义购买实例ECS远程连接操作指南配置安全组规则

    2.创建ALB实例

    1. 登录ALB控制台,选择华东2(上海)地域,单击创建应用型负载均衡

    2. 在购买页完成以下配置,单击立即购买

      • 实例网络类型:选择公网

      • VPC:选择VPC1

      • 可用区:勾选上海 可用区E上海 可用区F后分别选择VSW1VSW2,并自动分配公网IP

      • 协议版本:选择IPv4

      • 功能版本(实例费):选择标准版

    3. 确认订单页面确认实例配置详情,单击立即开通

    3.创建服务器组并添加后端服务器

    1. 服务器组控制台,确认地域为华东2(上海),单击创建服务器组

    2. 参考以下信息完成服务器组配置,单击创建

      • 服务器组类型:选择服务器类型

      • 服务器组名称:本文输入sg-nginx

      • VPC:选择VPC1

      • 选择后端协议:默认选择HTTP

    3. 单击服务器组创建成功弹窗中的添加后端服务器。选中ECS01,单击下一步。在配置端口和权重步骤中,将服务器的端口设置为80,单击确定完成添加。

    4.创建包含国密加密套件的TLS安全策略

    使用国密证书时,必须配合包含国密加密套件的自定义TLS安全策略。系统默认策略不包含国密加密套件。

    1. 在ALB控制台左侧导航栏单击TLS安全策略,单击自定义策略页签下的创建自定义策略

    2. 在创建面板中,输入策略名称gm-tls-policy选择最低版本TLS 1.0及以上,在选择加密算法套件中将ECC-SM2-WITH-SM4-SM3移至右侧已选框,单击创建

    ECC-SM2-WITH-SM4-SM3ECC-SM2-SM4-CBC-SM3ECC-SM2-SM4-GCM-SM3的别名。

    5.创建HTTPS监听并配置国密证书

    1. ALB控制台,单击目标实例ID进入实例详情页。在监听页签单击创建监听

    2. 配置监听步骤,选择监听协议HTTPS监听端口填写443,完成后单击下一步

    3. 配置SSL证书步骤,选择已准备的国密证书(证书列表显示算法类型,SM2即国密证书),TLS安全策略选择gm-tls-policy,单击下一步

    4. 选择服务器组步骤选择服务器组sg-nginx,完成后单击下一步

    5. 配置审核步骤,确认配置并单击提交

    配置国密证书后,必须选择包含国密加密套件的自定义TLS安全策略,否则客户端将无法正常访问。

    6.配置域名解析

    将自有域名通过CNAME解析指向ALB实例的DNS名称,客户端通过自有域名访问ALB。

    本文以阿里云云解析DNS为例,对于非阿里云注册域名,需先将域名添加到云解析控制台

    1. ALB控制台,复制目标实例的DNS 名称

    2. 登录域名解析控制台,在目标域名的操作列单击解析设置。在解析设置页面单击添加记录

    3. 参考以下信息添加CNAME记录,完成后单击确定

      • 记录类型:选择CNAME

      • 主机记录:输入域名前缀如sm2。如用户自定义域名为example.com,则访问ALB的域名为sm2.example.com

      • 解析请求来源TTL时间:保持默认。

      • 记录值:输入ALB实例的DNS名称。

    4. 在弹出的解析变更确认对话框确认解析信息,单击确定

    7.验证测试

    • sm2.example.com为示例域名,实际测试时请替换为步骤6中配置的真实域名,需确保域名解析已生效

    • 访问使用国密证书的网站需要支持国密算法的特殊浏览器,本文使用零信浏览器。

    验证国密HTTPS

    在零信浏览器地址栏输入https://sm2.example.com并访问。访问成功后,单击浏览器地址栏左侧的锁图标查看证书信息,确认证书类型显示为SM2,表示国密HTTPS配置成功。

    image

    更多信息

    使用限制

    • ALB升级实例支持国密证书,升级前的ALB实例不支持。可通过ALB实例克隆将存量ALB实例业务手动迁移至ALB升级实例。

    • 仅标准版和WAF增强版ALB实例支持国密证书,基础版、扩展版不支持。

    • 国密证书不支持双向认证(CA证书不支持SM2类型)。

    计费说明

    • ALB实例:ALB支持按量付费(后付费)和资源包(预付费)两种付费方式,详情参考ALB计费概述

    • ECS实例:详见ECS计费概述。若出于测试目的创建ECS,建议创建低规格的按量付费实例并及时释放。

    • 域名和DNS解析费用:除了需要支付域名供应商的域名费用外,在阿里云配置DNS解析需要支付公网权威解析费用

    常见问题

    国密浏览器访问失败,提示SSL握手错误

    • 确认自定义TLS安全策略已勾选国密加密套件ECC-SM2-WITH-SM4-SM3

    • 确认监听已关联包含国密加密套件的自定义TLS安全策略。