您在開發網站等業務系統時,如果需要實現僅用戶端驗證服務端身份的HTTPS單向認證,可以參考本文在阿里雲CLB中實現此功能。
前提條件
-
已建立CLB執行個體。具體操作,請參見建立和管理CLB執行個體。
-
已建立虛擬伺服器組,伺服器組中添加了ECS01和ECS02執行個體,並且在ECS01和ECS02中部署了不同的應用服務。
-
已購買認證或者上傳第三方認證到SSL認證服務並綁定網域名稱,請參見使用正式認證為Web網站開啟HTTPS訪問。
步驟一:上傳伺服器憑證到CLB
在配置HTTPS監聽前,您需要購買伺服器憑證,並將伺服器憑證上傳到負載平衡的認證管理系統。
-
在左側導覽列,選擇。
-
在憑證管理頁面,單擊建立憑證。
-
在建立憑證頁面配置以下資訊,其他參數可保持預設值或根據實際情況修改。完成後單擊建立。
配置
說明
請選擇認證來源
本文選擇阿里雲簽發認證。
證書列表
在下拉式清單中選擇需要上傳的認證。
憑證部署地域
選擇認證要部署的地區。認證不支援在未部署的地區使用。如果該認證需要在多個地區使用,選擇所有需要的地區。
步驟二:添加HTTPS監聽
-
在左側導覽列,選擇。
-
在頂部功能表列處,選擇執行個體所屬的地區。
-
在實例管理頁面,找到目標執行個體,然後在操作列單擊監聽設定精靈。
-
在合約&監聽頁面配置以下資訊,其他參數可保持預設值或根據實際情況修改。完成後單擊下一步。
配置
說明
選擇監聽協議
選擇HTTPS。
監聽通信埠
本文配置樣本為HTTPS預設連接埠443。
-
在SSL憑證頁面配置以下資訊,其他參數可保持預設值或根據實際情況修改。完成後單擊下一步。
配置
說明
選擇伺服器憑證
選擇步驟一中上傳的伺服器憑證。
-
在後端伺服器頁面配置以下資訊,其他參數可保持預設值或根據實際情況修改。完成後單擊下一步。
配置
說明
監聽要求轉寄至
選擇虛擬伺服器組。
選擇伺服器組
選擇此前已建立好的虛擬伺服器組。
-
在健康檢查頁面,參數可保持預設值或根據實際情況修改。完成後單擊下一步。
-
在設定審核頁面,檢查配置參數是否有誤,無誤的話單擊提交,等待監聽建立完成。
步驟三:佈建網域名解析
-
在頂部功能表列選擇地區。
-
選擇要進行網域名稱解析的CLB執行個體,複製其對應的公網服務地址。
-
完成以下步驟來添加A解析記錄。
-
登入網域名稱解析控制台。
-
在公网权威解析頁面單擊新增網域名稱。
-
在新增網域名稱對話方塊中輸入您的主機網域名稱,然後單擊确认。
重要您的主機網域名稱需已完成TXT記錄驗證。
-
在目標網域名稱的操作列單擊解析设置。
-
在解析设置頁面單擊添加记录。
-
在添加记录面板配置以下資訊完成A記錄解析配置,然後單擊确认。
配置
說明
记录类型
在下拉式清單中選擇A。
主机记录
您的網域名稱的首碼。
解析请求来源
選擇預設。
记录值
記錄值為IP地址,即您複製的CLB執行個體的公網服務地址。
TTL
全稱Time To Live,表示DNS記錄在DNS伺服器上的緩衝時間,本文使用預設值。
-
步驟四:測試負載平衡服務
在瀏覽器中輸入CLB對應綁定的網域名稱,並多次重新整理頁面,您可以看到正通過HTTPS協議訪問後端服務,且請求在兩台ECS之間轉換。
頁面返回 Hello World ! This is ECS01. 的常值內容,多次重新整理後顯示 Hello World ! This is ECS02.,表明請求在兩台 ECS 之間輪詢轉寄。
相關文檔
-
如您需要使用非阿里雲簽發認證,認證要求可參考認證要求和轉換認證格式,認證上傳相關注意事項可參考上傳非阿里雲簽發認證。
-
添加HTTPS監聽詳細操作可參考添加HTTPS監聽。
-
如您有更高的安全需求,您可參考使用CLB部署HTTPS業務(雙向認證),實現對伺服器和用戶端的雙向HTTPS認證,為您的業務提供更高的安全性。