您在開發網站等業務系統時,如果需要實現僅用戶端驗證服務端身份的HTTPS單向認證,可以參考本文在阿里雲CLB中實現此功能。
前提條件
已建立CLB執行個體。具體操作,請參見建立和管理CLB執行個體。
已建立虛擬伺服器組,伺服器組中添加了ECS01和ECS02執行個體,並且在ECS01和ECS02中部署了不同的應用服務。
已購買認證或者上傳第三方認證到SSL認證服務並綁定網域名稱,請參見SSL認證快速上手。
步驟一:上傳伺服器憑證到CLB
在配置HTTPS監聽前,您需要購買伺服器憑證,並將伺服器憑證上傳到負載平衡的認證管理系統。
在左側導覽列,選擇。
在認證管理頁面,單擊建立認證。
在建立認證頁面配置以下資訊,其他參數可保持預設值或根據實際情況修改。完成後單擊建立。
配置
說明
請選擇認證來源
本文選擇阿里雲簽發認證。
認證列表
在下拉式清單中選擇需要上傳的認證。
認證部署地區
選擇認證要部署的地區。認證不支援在未部署的地區使用。如果該認證需要在多個地區使用,選擇所有需要的地區。
步驟二:添加HTTPS監聽
在左側導覽列,選擇。
在頂部功能表列處,選擇執行個體所屬的地區。
在執行個體管理頁面,找到目標執行個體,然後在操作列單擊監聽設定精靈。
在協議&監聽頁面配置以下資訊,其他參數可保持預設值或根據實際情況修改。完成後單擊下一步。
配置
說明
選擇監聽協議
選擇HTTPS。
監聽連接埠
本文配置樣本為HTTPS預設連接埠443。
在SSL認證頁面配置以下資訊,其他參數可保持預設值或根據實際情況修改。完成後單擊下一步。
配置
說明
選擇伺服器憑證
選擇步驟一中上傳的伺服器憑證。
在後端伺服器頁面配置以下資訊,其他參數可保持預設值或根據實際情況修改。完成後單擊下一步。
配置
說明
請選擇將監聽請求轉寄至哪類後端伺服器
選擇虛擬伺服器組。
選擇伺服器組
選擇此前已建立好的虛擬伺服器組。
在健全狀態檢查頁面,參數可保持預設值或根據實際情況修改。完成後單擊下一步。
在組態稽核頁面,檢查配置參數是否有誤,無誤的話單擊提交,等待監聽建立完成。
步驟三:佈建網域名解析
在頂部功能表列選擇地區。
選擇要進行網域名稱解析的CLB執行個體,複製其對應的公網服務地址。
完成以下步驟來添加A解析記錄。
登入網域名稱解析控制台。
在網域名稱解析頁面單擊新增網域名稱。
在新增網域名稱對話方塊中輸入您的主機網域名稱,然後單擊確認。
重要您的主機網域名稱需已完成TXT記錄驗證。
在目標網域名稱的操作列單擊解析設定。
在解析設定頁面單擊添加記錄。
在添加記錄面板配置以下資訊完成A記錄解析配置,然後單擊確認。
配置
說明
記錄類型
在下拉式清單中選擇A。
主機記錄
您的網域名稱的首碼。
解析請求來源
選擇預設。
記錄值
記錄值為IP地址,即您複製的CLB執行個體的公網服務地址。
TTL
全稱Time To Live,表示DNS記錄在DNS伺服器上的緩衝時間,本文使用預設值。
步驟四:測試負載平衡服務
在瀏覽器中輸入CLB對應綁定的網域名稱,並多次重新整理頁面,您可以看到正通過HTTPS協議訪問後端服務,且請求在兩台ECS之間轉換。
相關文檔
如您需要使用非阿里雲簽發認證,認證要求可參考認證要求,認證上傳相關注意事項可參考上傳非阿里雲簽發認證。
添加HTTPS監聽詳細操作可參考添加HTTPS監聽。
如您有更高的安全需求,您可參考使用CLB部署HTTPS業務(雙向認證),實現對伺服器和用戶端的雙向HTTPS認證,為您的業務提供更高的安全性。