在配置單向認證或雙向認證業務時,您需要在阿里雲認證中心購買認證,或者將所需的第三方簽發的伺服器憑證和CA認證上傳至阿里雲認證中心,從認證中心擷取該認證並使用。
背景資訊
ALB支援單向認證和雙向認證,請根據您的需要進行選擇。
單向認證:用戶端需要認證服務端,而服務端不需要認證用戶端。配置HTTPS監聽和QUIC監聽時,需要為監聽綁定伺服器憑證。
雙向認證:用戶端需要認證服務端,服務端也需要認證用戶端,需要雙方都通過認證,才能正常請求響應,以確保資料資訊的安全。開啟雙向認證後,為監聽綁定伺服器憑證的同時,還需要綁定CA認證來認證用戶端。
使用限制
基礎版執行個體不支援雙向認證。
QUIC監聽暫不支援雙向認證。
HTTP監聽不支援單向認證和雙向認證。
認證類型
ALB支援的認證類型包括國際標準認證(RSA/ECC)和國密認證(SM2)。
國際標準認證:支援RSA和ECC演算法,適用於通用HTTPS加密情境。
國密認證:支援國密演算法體系,包括 SM2(簽名/金鑰交換)、SM3(摘要)及 SM4(資料加密),適用於金融、政企及有等保三要求的行業客戶。使用國密認證時,需要配合包含國密加密套件(ECC-SM2-WITH-SM4-SM3)的自訂TLS安全性原則。
不同監聽類型、認證類型與認證方式的支援情況如下表所示:
監聽類型 | 認證類型 | 認證認證方式 | |
單向認證 | 雙向認證 | ||
HTTPS | RSA、ECC、SM2 單認證配置 | 支援 | 支援(RSA、ECC) |
RSA 和 ECC 雙認證配置 | 支援 | 支援 | |
RSA 和 SM2 雙認證配置 | 支援 | 不支援 | |
ECC 和 SM2 雙認證配置 | 支援 | 不支援 | |
RSA、ECC、SM2 三認證混合配置 | 支援 | 不支援 | |
QUIC | RSA 和 ECC 單認證配置 | 支援 | 不支援 |
RSA 和 ECC 雙認證配置 | 支援 | 不支援 | |
HTTP | 不支援配置認證 | ||
認證匹配邏輯
當監聽配置了多個認證時,ALB使用支援SNI的智能認證選擇演算法。如果用戶端提供的主機名稱與認證列表中的單個認證匹配,則ALB將選擇此認證。如果用戶端提供的主機名稱與認證列表中的多個認證匹配,則ALB將按照以下優先順序選擇最佳認證:
網域名稱匹配:精確匹配優先於萬用字元匹配。
公開金鑰演算法:ECDSA(ECC)優先於RSA。
雜湊演算法:SHA系列優先於MD5。
密鑰長度:優先選擇密鑰長度最大的認證。
有效期間:優先選擇有效時間最長的認證。
ALB會根據用戶端TLS握手時攜帶的協議版本識別是否使用國密協議(TLCP)。
如果用戶端使用TLCP協議,ALB優先選擇國密認證。
如果用戶端使用標準TLS協議,ALB優先選擇國際標準認證(RSA/ECC)。
前提條件
您已建立ALB執行個體(標準版或WAF增強版)。
您已建立可用的後端伺服器組。
您已在認證中心購買及啟用子CA認證,且私人子CA的認證剩餘數量不為0;或已上傳自簽名根CA或自簽名子根CA認證至認證中心。
添加認證
在頂部功能表列處,選擇執行個體所屬的地區。
在執行個體頁面,找到目標執行個體,單擊執行個體ID。
選擇以下一種方法,開啟監聽設定精靈。
在執行個體頁面,在目標執行個體操作列單擊建立監聽。
在執行個體頁面,單擊目標執行個體ID。在監聽頁簽,單擊建立監聽。
在配置監聽設定精靈,完成以下配置,然後單擊下一步。
本文僅列舉強相關參數,更多資訊,請參見添加HTTPS監聽。
監聽配置
說明
選擇監聽協議
選擇監聽的協議類型。 您可以根據需要選擇HTTPS或QUIC。
說明QUIC監聽暫不支援雙向認證。
HTTP監聽不支援單向認證和雙向認證。
本文選擇HTTPS。
監聽連接埠
輸入用來接收請求並向後端伺服器進行請求轉寄的監聽連接埠,連接埠範圍為1~65535。通常HTTP協議使用80連接埠,HTTPS協議使用443連接埠。
本文輸入443。
監聽名稱
輸入自訂監聽名稱。
進階設定
單擊修改展開進階配置。
在設定SSL憑證設定精靈,選擇一個伺服器憑證。
可選:開啟啟用雙向認證,選擇CA認證來源。
選擇CA認證來源為阿里雲簽發,在選擇預設CA認證下拉框中選擇一個CA認證。
如果沒有可選的CA認證,您可以在下拉框中單擊購買CA認證,以建立新CA認證。
選擇CA認證來源為非阿里雲簽發,在選擇預設CA認證下拉框中選擇一個CA認證。
如果沒有可選的自簽名CA認證,您可以在下拉框中單擊上傳自簽CA認證,在認證應用倉庫頁面,建立資料來源為上傳CA認證的倉庫,然後通過認證應用倉庫上傳自簽名根CA或自簽名子根CA認證。
說明僅標準版和WAF增強版的ALB執行個體支援雙向認證,基礎版ALB執行個體不支援雙向認證。
開啟雙向認證後,如果您後續需要關閉雙向認證,請參考以下步驟。
在執行個體頁面,單擊目標執行個體ID。
在監聽頁簽,單擊目標HTTPS協議監聽ID。
在監聽詳情頁簽,在SSL 憑證地區關閉雙向認證開關。
選擇TLS安全性原則,然後單擊下一步。
如果沒有可選的TLS安全性原則,您可以在下拉框中單擊創建 TLS 安全性原則。
TLS安全性原則包含HTTPS可選的TLS協議版本和配套的密碼編譯演算法套件。
在選擇伺服器組設定精靈,選擇伺服器組,查看後端伺服器資訊,然後單擊下一步。
在組態稽核設定精靈,確認配置資訊,然後單擊提交。
更多操作
在頂部功能表列處,選擇執行個體所屬的地區。
在執行個體頁面,找到目標執行個體,單擊執行個體ID。
單擊監聽頁簽,在目標監聽操作列單擊管理憑證。
在監聽認證頁簽,您可以根據需要進行如下操作。
說明為避免認證到期對您的服務產生影響,請在認證到期前更換認證。
認證類別
操作
說明
伺服器憑證
更換監聽預設伺服器憑證
添加伺服器擴充認證
您可以通過添加擴充認證增加監聽關聯的認證。
刪除伺服器擴充認證
您可以刪除不需要的伺服器擴充認證,刪除後該認證將不再認證後端伺服器。
在伺服器憑證頁簽,找到目標擴充認證,在操作列單擊移除。
在彈出的對話方塊中,單擊確定刪除。
CA認證
開啟或關閉雙向認證
開啟雙向認證:如果您建立的監聽從未開啟過雙向認證,您可以通過以下方式開啟雙向認證。
關閉雙向認證:如果您建立的監聽開啟過雙向認證,您可以單擊CA認證頁簽,然後關閉雙向認證開關,關閉後該監聽只支援單向認證。
更換CA認證
相關文檔
產品教程
配置全鏈路HTTPS訪問實現加密通訊:ALB提供全鏈路HTTPS加密功能,可以實現用戶端到ALB、ALB到後端伺服器之間的全鏈路加密通訊,提升敏感業務的安全性。
單ALB執行個體配置多網域名稱HTTPS網站:當您需要將不同網域名稱的HTTPS訪問請求轉寄至不同的後端伺服器時,您可以通過ALB的HTTPS監聽綁定多個認證,並配置基於網域名稱的轉寄規則,實現多網域名稱HTTPS網站的訪問。
使用ALB部署HTTPS業務(雙向認證):在需要高安全性驗證的情境(如金融、醫學等)下,可通過ALB的HTTPS雙向認證功能,實現用戶端與伺服器之間的相互身分識別驗證,確保資料轉送的安全性。
API文檔
CreateListener:建立HTTP、HTTPS或QUIC監聽。
AssociateAdditionalCertificatesWithListener:為HTTPS和QUIC監聽添加擴充認證。
DissociateAdditionalCertificatesFromListener:從HTTPS和QUIC監聽移除擴充認證。
UpdateListenerAttribute:修改HTTPS和QUIC監聽的預設認證配置(更換預設認證,是否開啟雙向認證等)。