ALB配置認證 - Server Load Balancer

在配置單向認證或雙向認證業務時，您需要在阿里雲認證中心購買認證，或者將所需的第三方簽發的伺服器憑證和CA認證上傳至阿里雲認證中心，從認證中心擷取該認證並使用。

背景資訊

ALB支援單向認證和雙向認證，請根據您的需要進行選擇。

單向認證：用戶端需要認證服務端，而服務端不需要認證用戶端。配置HTTPS監聽和QUIC監聽時，需要為監聽綁定伺服器憑證。
雙向認證：用戶端需要認證服務端，服務端也需要認證用戶端，需要雙方都通過認證，才能正常請求響應，以確保資料資訊的安全。開啟雙向認證後，為監聽綁定伺服器憑證的同時，還需要綁定CA認證來認證用戶端。

使用限制

基礎版執行個體不支援雙向認證。
QUIC監聽暫不支援雙向認證。
HTTP監聽不支援單向認證和雙向認證。

認證類型

ALB目前支援的認證類型為國際標準認證（RSA/ECC）。

監聽類型	認證類型	認證認證方式
監聽類型	認證類型	單向認證	雙向認證
HTTPS	RSA和ECC單認證配置	支援	支援
HTTPS	RSA和ECC雙認證配置	支援	支援
QUIC	RSA和ECC單認證配置	支援	不支援
QUIC	RSA和ECC雙認證配置	支援	不支援
HTTP	不支援配置認證

前提條件

您已建立ALB執行個體（標準版或WAF增強版）。
您已建立可用的後端伺服器組。
您已在認證中心購買或上傳伺服器憑證。
您已在認證中心購買及啟用子CA認證，且私人子CA的認證剩餘數量不為0；或已上傳自簽名根CA或自簽名子根CA認證至認證中心。

添加認證

登入應用型負載平衡ALB控制台。
在頂部功能表列處，選擇執行個體所屬的地區。
在執行個體頁面，找到目標執行個體，單擊執行個體ID。
選擇以下一種方法，開啟監聽設定精靈。
- 在執行個體頁面，在目標執行個體操作列單擊建立監聽。
- 在執行個體頁面，單擊目標執行個體ID。在監聽頁簽，單擊建立監聽。

在配置監聽設定精靈，完成以下配置，然後單擊下一步。

本文僅列舉強相關參數，更多資訊，請參見添加HTTPS監聽。

監聽配置	說明
選擇監聽協議	選擇監聽的協議類型。您可以根據需要選擇HTTPS或QUIC。說明 QUIC監聽暫不支援雙向認證。 HTTP監聽不支援單向認證和雙向認證。本文選擇HTTPS。
監聽連接埠	輸入用來接收請求並向後端伺服器進行請求轉寄的監聽連接埠，連接埠範圍為1~65535。通常HTTP協議使用80連接埠，HTTPS協議使用443連接埠。本文輸入`443`。
監聽名稱	輸入自訂監聽名稱。
進階配置	單擊修改展開進階配置。

在設定SSL憑證設定精靈，選擇一個伺服器憑證。
如果沒有可選的伺服器憑證，您可以在下拉框中單擊建立SSL認證進入認證中心，在認證中心購買或上傳伺服器憑證。
可選：開啟啟用雙向認證，選擇CA認證來源。
- 選擇CA認證來源為阿里雲簽發，在選擇預設CA認證下拉框中選擇一個CA認證。
  如果沒有可選的CA認證，您可以在下拉框中單擊購買CA認證，以建立新CA認證。
- 選擇CA認證來源為非阿里雲簽發，在選擇預設CA認證下拉框中選擇一個CA認證。
  如果沒有可選的自簽名CA認證，您可以在下拉框中單擊上傳自簽CA認證，在認證應用倉庫頁面，建立資料來源為上傳CA認證的倉庫，然後通過認證應用倉庫上傳自簽名根CA或自簽名子根CA認證。
說明
- 僅標準版和WAF增強版的ALB執行個體支援雙向認證，基礎版ALB執行個體不支援雙向認證。
- 開啟雙向認證後，如果您後續需要關閉雙向認證，請參考以下步驟。
  在執行個體頁面，單擊目標執行個體ID。
  在監聽頁簽，單擊目標HTTPS協議監聽ID。
  在監聽詳情頁簽，在SSL認證地區關閉雙向認證開關。
選擇TLS安全性原則，然後單擊下一步。
如果沒有可選的TLS安全性原則，您可以在下拉框中單擊建立TLS安全性原則。
TLS安全性原則包含HTTPS可選的TLS協議版本和配套的密碼編譯演算法套件。
在選擇伺服器組設定精靈，選擇伺服器組，查看後端伺服器資訊，然後單擊下一步。
在設定審核設定精靈，確認配置資訊，然後單擊提交。

更多操作

登入應用型負載平衡ALB控制台。
在頂部功能表列處，選擇執行個體所屬的地區。
在執行個體頁面，找到目標執行個體，單擊執行個體ID。
單擊監聽頁簽，在目標監聽操作列單擊管理憑證。

在監聽認證頁簽，您可以根據需要進行如下操作。

說明

為避免認證到期對您的服務產生影響，請在認證到期前更換認證。

認證類別	操作	說明
伺服器憑證	更換監聽預設伺服器憑證	在伺服器憑證頁簽，找到監聽預設伺服器憑證，在操作列單擊更換。在彈出的對話方塊，選擇伺服器憑證，單擊確定。如果沒有可選的伺服器憑證，您可以在下拉框中單擊建立SSL認證進入認證中心，在認證中心購買或上傳伺服器憑證。
	添加伺服器擴充認證	您可以通過添加擴充認證增加監聽關聯的認證。在伺服器憑證頁簽，單擊添加擴充認證。在添加擴充認證對話方塊中，選擇伺服器憑證，然後單擊確定。如果沒有可選的伺服器憑證，您可以在右上方單擊購買認證進入認證中心，在認證中心購買或上傳伺服器憑證。
	刪除伺服器擴充認證	您可以刪除不需要的伺服器擴充認證，刪除後該認證將不再認證後端伺服器。在伺服器憑證頁簽，找到目標擴充認證，在操作列單擊刪除。在彈出的對話方塊中，單擊確定刪除。
CA認證	開啟或關閉雙向認證	開啟雙向認證：如果您建立的監聽從未開啟過雙向認證，您可以通過以下方式開啟雙向認證。單擊CA認證頁簽，開啟雙向認證開關或單擊點此開啟雙向認證。在啟用雙向認證對話方塊中，根據業務選擇以下任一步驟完成操作。選擇CA認證來源為阿里雲簽發，在選擇預設CA認證下拉框中選擇一個CA認證，然後單擊確定。如果沒有可選的CA認證，您可以在下拉框中單擊購買CA認證，以建立新CA認證。選擇CA認證來源為非阿里雲簽發，在選擇預設CA認證下拉框中選擇一個CA認證，然後單擊確定。如果沒有可選的自簽名CA認證，您可以在下拉框中單擊上傳自簽CA認證，在認證應用倉庫頁面，建立資料來源為上傳CA認證的倉庫，然後通過認證應用倉庫上傳自簽名根CA或自簽名子根CA認證。關閉雙向認證：如果您建立的監聽開啟過雙向認證，您可以單擊CA認證頁簽，然後關閉雙向認證開關，關閉後該監聽只支援單向認證。
CA認證	更換CA認證	單擊CA認證頁簽，找到監聽預設CA認證，在操作列單擊更換。在更換預設CA認證對話方塊中，根據業務選擇以下任一步驟完成操作。選擇CA認證來源為阿里雲簽發，在選擇預設CA認證下拉框中選擇一個CA認證，然後單擊確定。如果沒有可選的CA認證，您可以在下拉框中單擊購買CA認證，以建立新CA認證。選擇CA認證來源為非阿里雲簽發，在選擇預設CA認證下拉框中選擇一個CA認證，然後單擊確定。如果沒有可選的自簽名CA認證，您可以在下拉框中單擊上傳自簽CA認證，在認證應用倉庫頁面，建立資料來源為上傳CA認證的倉庫，然後通過認證應用倉庫上傳自簽名根CA或自簽名子根CA認證。

產品教程

配置全鏈路HTTPS訪問實現加密通訊：ALB提供全鏈路HTTPS加密功能，可以實現用戶端到ALB、ALB到後端伺服器之間的全鏈路加密通訊，提升敏感業務的安全性。
單ALB執行個體配置多網域名稱HTTPS網站：當您需要將不同網域名稱的HTTPS訪問請求轉寄至不同的後端伺服器時，您可以通過ALB的HTTPS監聽綁定多個認證，並配置基於網域名稱的轉寄規則，實現多網域名稱HTTPS網站的訪問。
使用ALB部署HTTPS業務（雙向認證）：在需要高安全性驗證的情境（如金融、醫學等）下，可通過ALB的HTTPS雙向認證功能，實現用戶端與伺服器之間的相互身分識別驗證，確保資料轉送的安全性。

API文檔

CreateListener：建立HTTP、HTTPS或QUIC監聽。
AssociateAdditionalCertificatesWithListener：為HTTPS和QUIC監聽添加擴充認證。
DissociateAdditionalCertificatesFromListener：從HTTPS和QUIC監聽移除擴充認證。
UpdateListenerAttribute：修改HTTPS和QUIC監聽的預設認證配置（更換預設認證，是否開啟雙向認證等）。

Server Load Balancer：管理憑證