為CLB配置HTTPS監聽前,需先建立認證。
認證說明
CLB支援單向認證和雙向認證兩種模式:
單向認證:CLB只需要設定管理員認證。由用戶端驗證伺服器身份。
雙向認證:CLB需要同時設定管理員認證、CA認證。伺服器和用戶端互相驗證身份。
CLB支援兩種來源的認證:
阿里雲數位憑證管理服務:直接選擇在阿里雲數位憑證管理服務中已購買的認證,此方式便於統一管理,並可享受認證到期提醒和一鍵續期服務。僅支援伺服器憑證,暫不支援用戶端CA認證。
第三方簽發的認證:上傳由其他服務商簽發或您自簽名的認證,此方式需要您手動上傳認證的公開金鑰和私密金鑰檔案。支援伺服器憑證及用戶端CA認證。
認證上傳到CLB後,CLB即可管理憑證,不需要在後端伺服器上綁定認證。
建立認證
阿里雲簽發認證
確保已在SSL認證控制台購買或上傳所需認證。
在左側導覽列,選擇。
在認證管理頁面,單擊建立認證。
在建立認證面板,選擇阿里雲簽發認證,從認證列表中選擇使用的SSL認證,並選擇認證部署地區。
認證不支援跨地區使用。如果該認證需要在多個地區使用,選擇所有需要的地區。
單擊建立。 返回認證管理頁面查看已經建立的認證。
非阿里雲簽發認證
準備工作:
準備好PEM格式的伺服器憑證公開金鑰檔案和私密金鑰檔案。
(僅雙向認證需要)準備好PEM格式的CA認證公開金鑰檔案。
在左側導覽列,選擇。
在憑證管理頁面,單擊建立憑證。
在建立證書面板,選擇上傳非阿里雲簽發認證,完成以下配置後單擊建立。
配置
說明
認證類型
選擇要上傳的認證類型:
伺服器憑證:配置HTTPS單向認證,只需要上傳伺服器憑證和私密金鑰。
CA認證:配置HTTPS雙向認證,除了上傳伺服器憑證外,還需要上傳CA認證。
密鑰憑證
複製伺服器或者CA認證內容,密鑰憑證包含認證的公開金鑰和簽名等資訊。
CLB使用Nginx格式的認證,通常從認證供應商擷取到的Nginx格式的認證檔案,以.pem為尾碼,也有可能以.crt或其他為尾碼。
單擊查看範例查看正確的認證樣式。詳情參見認證要求。
私密金鑰
複製伺服器憑證的私密金鑰內容,通常從認證供應商擷取到Nginx格式的認證檔案,以.key為尾碼。
單擊查看範例查看正確的認證樣式。詳情參見私密金鑰格式要求。
重要只有上傳伺服器憑證時,才需要上傳私密金鑰。
憑證部署地域
選擇認證的部署地區。
認證不支援在未部署的地區使用。如果該認證需要在多個地區使用,選擇所有需要的地區。
更多資訊
使用限制
認證支援在多個地區使用,每個地區最多可建立100個伺服器憑證和100個用戶端CA認證。
目前阿里雲CLB支援的公開金鑰演算法:RSA 1024、RSA 2048和RSA 4096。
上傳的認證格式必須是PEM。限制PEM認證檔案中含有
BEGIN DH PARAMETERS欄位的字串上傳,因為HTTPS監聽使用的ECDHE演算法簇支援前向保密技術,不支援將DHE演算法簇所需要的安全增強參數檔案上傳。認證不支援跨帳號使用。若要在多個帳號使用,需先在已建立認證的阿里雲帳號下載Nginx格式認證,再去需要建立認證的帳號上傳該認證。