管理憑證 - Server Load Balancer

用 TCPSSL 監聽實現加密傳輸時，需要在NLB配置認證，NLB 的所有認證統一由阿里雲數位憑證管理服務進行儲存和管理，您需要先購買認證或將持有的認證上傳至數位憑證管理服務，才能在 NLB 上使用。

工作原理

認證類型

CA認證：CA（Certificate Authority）是一個受信任的第三方機構，專門負責審核和頒發認證。CA認證用來驗證其他認證是否合法，比如檢查認證是否由可信CA簽發。
伺服器憑證：又稱SSL認證，由CA簽發，包含伺服器的公開金鑰和身份資訊（如網域名稱）。用於向用戶端證明伺服器的身份。
用戶端認證：由CA簽發，包含用戶端的公開金鑰和身份資訊。用於向伺服器證明用戶端的身份。

什麼是根CA、中間CA、憑證鏈結？

根 CA （Root CA）是憑證授權單位的最進階別，其認證是整個信任鏈結的起點。根 CA 憑證通常是自簽名的，並被作業系統、瀏覽器和其他應用程式預先信任，用於驗證其他認證（如中繼 CA 認證和終端認證）的合法性。在實際應用中，根 CA 很少直接簽發終端認證（如伺服器憑證、用戶端認證），而是用於簽發中繼 CA 認證。

中繼 CA （Intermediate CA）是根 CA 和終端認證之間的中間環節。中繼 CA 的認證由根 CA 簽發，並被用來實際簽發伺服器憑證、用戶端認證等終端認證。通過使用中繼 CA，根 CA 的私密金鑰可以被安全地保護，同時擴充信任範圍。

用戶端/服務端驗證對方認證時，會根據憑證鏈結（Certificate Chain），從對方認證開始，逐級向上驗證簽名，直到找到自己信任的根CA認證。

例如：憑證鏈結是伺服器憑證 → 中間CA認證 → 根CA認證，用戶端會逐級檢查：

伺服器憑證是否由中間CA簽發？
中間CA認證是否由根CA簽發？
根CA認證是否在自己的信任清單中？

全部通過才認為伺服器可信。如果伺服器未提供完整的憑證鏈結（比如缺少中間CA認證），用戶端會報告此認證不受信任。

認證模式

NLB同時支援單向認證和雙向認證。

單向認證：NLB只需要設定管理員認證，由用戶端驗證伺服器身份。這是最常見的模式，適用於絕大多數 Web 應用程式和 API 服務。
雙向認證：NLB需要同時設定管理員認證、CA認證，伺服器和用戶端互相驗證身份。適用於金融、物聯網（IoT）或企業內部等高安全要求的情境。

單向認證握手過程	雙向認證握手過程

前提條件

已根據單向認證或雙向認證的需求，準備好對應的認證。從阿里雲購買認證您可參考：

CA認證：購買及啟用私人CA
伺服器憑證：購買正式認證
用戶端認證：下載私人認證

單向認證認證配置

控制台

配置TCPSSL監聽時，在配置SSL認證頁面，選擇伺服器憑證，並配置TLS安全性原則。

端到端操作教程您可參考：通過NLB實現TCPSSL卸載（單向認證）。

API

通過調用CreateListener介面：

ListenerProtocol欄位傳入TCPSSL，建立TCPSSL監聽。
CertificateIds欄位設定管理員認證。
SecurityPolicyId欄位配置TLS安全性原則。

雙向認證認證配置

控制台

配置TCPSSL監聽時，在配置SSL認證頁面，選擇伺服器憑證，啟用雙向認證並配置CA認證。同時配置TLS安全性原則。

端到端操作教程您可參考：通過NLB實現TCPSSL卸載（雙向認證）。

API

調用CreateListener介面：

ListenerProtocol欄位傳入TCPSSL，建立TCPSSL監聽。
CertificateIds欄位設定管理員認證。
CaEnabled欄位配置為true，啟動雙向認證。
CaCertificateIds欄位配置CA認證。
SecurityPolicyId欄位配置TLS安全性原則。

單向認證與雙向認證互轉

對已有TCPSSL監聽，可以開啟/關閉雙向認證，實現單向認證與雙向認證的互轉。

控制台

在NLB控制台，找到目標NLB執行個體，單擊執行個體ID。
在監聽頁簽，找到目標TCPSSL監聽，單擊操作列的管理憑證。
在CA認證頁簽，單擊左上方雙向認證開關，開啟或關閉雙向認證。選擇CA認證，並單擊確定。

API

調用UpdateListenerAttribute介面，通過ListenerId欄位選中TCPSSL監聽，調整CaEnabled欄位開啟/關閉雙向認證，調整CaCertificateIds欄位選擇CA認證。

管理伺服器認證

更換預設伺服器憑證

配置TCPSSL監聽時選擇的伺服器憑證，為監聽的預設伺服器憑證，當認證即將到期或業務變更時可以無縫更換。

預設伺服器憑證變更期間，建立串連可能中斷，已經建立的串連不會受影響。建議在業務低峰期進行變更。

控制台

在NLB控制台，找到目標NLB執行個體，單擊執行個體ID。
在監聽頁簽，找到目標TCPSSL監聽，單擊操作列的管理憑證。
在伺服器憑證頁簽，單擊監聽預設伺服器憑證右側的更換，選擇新的認證。
單擊確定。

API

調用UpdateListenerAttribute介面，通過ListenerId欄位選中TCPSSL監聽，調整CertificateIds欄位更換預設伺服器憑證。

配置擴充認證以支援多網域名稱

如果一個監聽連接埠需要為多個網域名稱提供 HTTPS 服務，且每個網域名稱使用不同的認證，可以使用NLB擴充認證功能。

擴充認證配置完成後，NLB 將根據用戶端請求的網域名稱，自動匹配並使用對應的認證。

如果匹配到擴充認證網域名稱，則使用擴充認證。
如果未匹配到擴充認證網域名稱，則使用預設伺服器憑證。

1、每個NLB執行個體最多支援添加25個擴充認證。

2、單次配置最多支援同時添加/刪除15個擴充認證。

控制台

在NLB控制台，找到目標NLB執行個體，單擊執行個體ID。
在監聽頁簽，找到目標TCPSSL監聽，單擊操作列的管理憑證。
在伺服器憑證頁簽，單擊添加擴充認證，選擇其他網域名稱的認證。
單擊確定。

可以單擊擴充認證右側操作列的刪除，刪除擴充認證。

API

調用AssociateAdditionalCertificatesWithListener介面，通過ListenerId欄位選中TCPSSL監聽，通過AdditionalCertificateIds欄位添加擴充認證。
調用DisassociateAdditionalCertificatesWithListener介面，通過ListenerId欄位選中TCPSSL監聽，通過AdditionalCertificateIds欄位刪除擴充認證。

管理CA認證

更換CA認證

控制台

在NLB控制台，找到目標NLB執行個體，單擊執行個體ID。
在監聽頁簽，找到目標TCPSSL監聽，單擊操作列的管理憑證。
在CA認證頁簽，已開啟雙向認證時，單擊CA認證右側操作列的更換，切換CA認證並單擊確定。

API

調用UpdateListenerAttribute介面，通過ListenerId欄位選中TCPSSL監聽，調整CaCertificateIds欄位更換CA認證。

計費說明

使用 TCPSSL 監聽配置認證功能本身不產生額外費用，但您需要為認證本身付費，詳情可參考：SSL認證計費說明、PCA認證計費說明。

應用於生產環境

最佳實務
- 認證管理：建議使用阿里雲數位憑證管理服務統一管理所有認證，便於集中查看、續約和部署。
- TLS 策略：對於面向公網且無特殊相容性要求的應用，建議使用 tls_cipher_policy_1_2 及以上版本。
- 自動化：結合使用 API/Terraform 和數位憑證管理服務，實現認證的自動續期和部署，避免因認證到期導致的服務中斷。
風險防範與容錯
- 內部流量安全：用戶端與NLB之間流量進行TCPSSL加密，但NLB 與後端伺服器之間的流量預設是明文的。為確保端到端安全，應將 NLB 和後端伺服器部署在同一 VPC 內，並通過安全性群組等策略嚴格限制訪問。
- 認證到期監控：在CloudMonitor中為認證配置到期警示規則，建議設定在到期前 30 天、7 天和 1 天分別警示，預留充足時間進行更換。
- 變更復原：更換認證或調整 TLS 策略後，若出現異常，可立即通過修改監聽配置復原。建議在業務低峰期進行變更。