HTTPS协议适用于需要加密传输的应用。您可以添加一个HTTPS监听转发来自HTTPS协议的请求。
前提条件
您已经创建负载均衡实例,具体操作,请参见创建负载均衡实例。
步骤一:配置监听
步骤二:配置SSL证书
添加HTTPS监听,您需要上传服务器证书或CA证书和选择TLS安全策略,如下表所示。
证书 | 说明 | 单向认证是否需要 | 双向认证是否需要 |
---|---|---|---|
服务器证书 | 用来证明服务器的身份。
用户浏览器用来检查服务器发送的证书是否是由自己信赖的中心签发的。 |
是
服务器证书需要上传到负载均衡的证书管理系统。 |
是
服务器证书需要上传到负载均衡的证书管理系统。 |
客户端证书 | 用来证明客户端的身份。
用于证明客户端用户的身份,使得客户端用户在与服务器端通信时可以证明其真实身份。您可以用自签名的CA证书为客户端证书签名。 |
否 | 是
需要客户端进行安装。 |
CA 证书 | 服务器用CA证书验证客户端证书的签名。如果没有通过验证,拒绝连接。 | 否 | 是
CA证书需要上传到负载均衡的证书管理系统。 |
TLS安全策略 | 仅性能保障型实例支持选择使用的TLS安全策略。
TLS安全策略包含HTTPS可选的TLS协议版本和配套的加密算法套件,具体说明请参见TLS安全策略说明。 |
是 | 是 |
在上传证书前,请注意:
- 目前阿里云负载均衡支持的公钥算法:RSA 1024、RSA 2048、RSA 4096、ECDSA P-256、ECDSA P-384和ECDSA P-521。
- 上传的证书格式必须是PEM。
- 证书上传到负载均衡后,负载均衡即可管理证书,不需要在后端ECS上绑定证书。
- 因为证书的上传、加载和验证都需要一些时间,所以使用HTTPS协议的实例生效也需要一些时间。一般一分钟后就会生效,最长不会超过三分钟。
- HTTPS监听使用的ECDHE算法簇支持前向保密技术,不支持将DHE算法簇所需要的安全增强参数文件上传,即PEM证书文件中含
BEGIN DH PARAMETERS
字段的字串上传。更多信息,请参见证书要求。 - 目前负载均衡HTTPS监听不支持SNI(Server Name Indication),您可以改用TCP监听在后端ECS上实现SNI功能。
- HTTPS监听的会话ticket保持时间默认为300秒。
- HTTPS监听实际产生的流量会比账单流量更多一些,因为会使用一些流量用于协议握手。
- 在新建连接数很高的情况下,会占用较大的流量。
- 在SSL证书配置页面,选择已上传的服务器证书,或单击新建服务器证书上传一个服务器证书。
- 如果您要开启HTTPS双向认证或者设置TLS安全策略,单击高级配置后面的修改。
- 打开双向认证,并选择一个已上传的CA证书,或新建一个CA证书。
- 选择TLS安全策略,更多信息,参见TLS安全策略说明。
步骤三:添加后端服务器
添加处理前端请求的后端服务器。您可以使用实例配置的默认服务器组,也可以为监听配置一个虚拟服务器组或主备服务组。更多信息,请参见后端服务器概述。
本操作中,以默认后端服务器组为例。
步骤四:配置健康检查
负载均衡通过健康检查来判断后端服务器(ECS实例)的业务可用性。健康检查机制提高了前端业务整体可用性,避免了后端ECS异常对总体服务的影响。单击修改更改健康检查配置,具体操作,请参见配置健康检查。