HTTPS协议适用于需要加密传输的应用。您可以创建使用加密连接的HTTPS监听转发来自HTTPS协议的请求。此功能支持在ALB实例与启动SSL或TLS会话的客户端之间进行流量加密。

前提条件

  • 您已经创建了ALB实例。具体操作,请参见创建实例
  • 您已经在ALB实例上部署至少一个SSL服务器证书和TLS安全策略。更多信息,请参见TLS安全策略
  • 您已经指定可用的后端服务器,以将转发操作添加到默认的监听规则。具体操作,请参见管理服务器组

步骤一:配置监听

完成以下操作,配置HTTPS监听。

  1. 登录应用型负载均衡ALB控制台
  2. 选择以下一种方法,打开监听配置向导。
    • 实例页面,单击目标实例操作列下的创建监听
    • 实例页面,单击目标实例ID。在监听页签,单击创建监听
  3. 配置监听配置向导,完成以下配置,然后单击下一步
    监听配置 说明
    选择负载均衡协议 选择监听的协议类型。

    本示例选择HTTPS

    监听端口 输入用来接收请求并向后端服务器进行请求转发的监听端口,本示例输入443。通常HTTP协议使用80端口,HTTPS协议使用443端口。

    端口范围为1~65535。

    说明 在同一个负载均衡实例内,监听端口不可重复。
    监听名称 输入监听名称。长度为2~256个字符,必须是中文和以下字符串中的字符:/^([^\x00-\xff]|[\w.,;/@-]){2,256}$/
    高级配置 单击修改展开高级配置。
    启用HTTP 2.0 选择是否开启HTTP 2.0。
    连接空闲超时时间 指定连接空闲超时时间,取值范围为1~60秒。
    在超时时间内一直没有访问请求,负载均衡会暂时中断当前连接,直到下一次请求来临时重新建立新的连接。
    说明 该功能对使用HTTP 2.0的请求暂不生效。
    连接请求超时时间 指定请求超时时间,取值范围为1~180秒。

    在超时时间内后端服务器一直没有响应,负载均衡将放弃等待,给客户端返回HTTP 504错误码。

    Gzip数据压缩 开启该配置对特定文件类型进行压缩。

    目前Gzip支持压缩的类型包括:text/xmltext/plaintext/cssapplication/javascriptapplication/x-javascriptapplication/rss+xmlapplication/atom+xmlapplication/xmlapplication/json

    附加HTTP头字段 选择您要添加的自定义HTTP header字段:
    • 添加X-Forwarded-For头字段获取来访者真实IP。
    • 添加SLB-ID头字段获取负载均衡实例的ID。
    • 添加X-Forwarded-Proto头字段获取实例的监听协议。
    • 添加X-Forwarded-Clientcert-subjectdn头字段获取访问负载均衡实例客户端证书的所有者信息。
    • 添加X-Forwarded-Clientcert-issuerdn头字段获取访问负载均衡实例客户端证书的所发行者信息。
    • 添加X-Forwarded-Clientcert-fingerprint头字段获取访问负载均衡实例客户端证书的指纹取值。
    • 添加X-Forwarded-Clientcert-clientverify头字段获取访问负载均衡实例客户端证书的校验结果。
    • 添加X-Forwarded-Port头字段获取实例的监听端口。
    • 添加X-Forwarded-Client-Port头字段获取访问负载均衡实例客户端的端口。
    开启QUIC升级 选择是否开启QUIC升级,如果开启QUIC升级,请选择一个关联的QUIC监听。

步骤二:配置SSL证书

添加HTTPS监听,您需要配置SSL证书以确保您的业务受到加密保护并得到权威机构的身份认证,如下表所示。

ALB双向认证支持的地域请参见新功能发布记录

证书 说明 单向认证是否需要 双向认证是否需要
服务器证书 用来证明服务器的身份。

您的浏览器用来检查服务器发送的证书是否是由自己信赖的中心签发的。更多信息,请参见SSL证书

服务器证书需要上传到ALB系统。

服务器证书需要上传到ALB系统。

客户端证书 用来证明客户端的身份。

用于证明客户端用户的身份,使得客户端用户在与服务器端通信时可以证明其真实身份。

需要客户端进行安装。

CA证书 服务器用CA证书验证客户端证书的签名。如果没有通过验证,拒绝连接。

CA证书需要上传到ALB系统。

TLS安全策略 TLS安全策略包含HTTPS可选的TLS协议版本和配套的加密算法套件,更多信息,请参见TLS安全策略
  1. 配置SSL证书配置向导,选择一个服务器证书或在服务器证书下拉列表中单击创建证书创建新证书。
  2. 如果您要开启HTTPS双向认证或者设置TLS安全策略,单击高级配置后的修改
  3. 打开双向认证,选择一个CA证书或在CA证书下拉列表中单击购买CA证书购买新证书。
    说明 开启双向认证后,如果您后续需要关闭双向认证,请参考以下步骤。
    1. 实例页面,单击目标实例ID。
    2. 监听页签,单击目标HTTPS协议监听ID。
    3. 监听详情页签,关闭双向认证开关。
  4. 选择TLS安全策略,更多信息,请参见TLS安全策略
  5. 单击下一步

步骤三:选择服务器组

选择服务器组配置向导,从服务器组列表中,选择一个后端服务器组,查看后端服务器信息,然后单击下一步

步骤四:配置审核

配置审核页面,确认配置信息,单击提交

常见问题

  • HTTPS支持哪些SSL协议版本?

    TLS 1.0、TLS 1.1、TLS 1.2以及TLS 1.3版本,更多信息,请参见TLS安全策略

  • 后端服务器能否获取客户端访问HTTPS监听的协议版本?

    可以。

  • HTTPS监听访问后端服务器的HTTP协议版本是什么?
    • 客户端请求的协议为HTTP 1.1或者HTTP 2.0版本时,七层监听访问后端服务器的HTTP协议版本是HTTP 1.1。
    • 客户端请求的协议为除HTTP 1.1和HTTP 2.0以外其他版本时,七层监听访问后端服务器的HTTP协议版本是HTTP 1.0。