操作场景
为了支持HTTPS数据传输加密认证,在创建HTTPS协议监听的时候需绑定证书,负载 均衡提供证书管理功能,您可以创建证书、修改证书、删除证书。
说明
● 新建证书只能绑定于所选类型的负载均衡器,请确保负载均衡器类型选择正确。
● 如果您不希望将证书上传到负载均衡器上进行管理,您可以将证书存放到后端服务器上,然 后配置相同端口的TCP监听器将HTTPS流量透传到后端服务器。具体原理参见TCP监听器将 HTTPS流量透传到后端服务器。
● 如果在两个区域想要使用同一个证书,需要在两个区域分别使用的证书信息创建两个证书。
创建证书
1. 登录管理控制台。
2. 在管理控制台左上角单击 图标,选择区域和项目。
3. 单击页面左上角的 ,选择“网络 > 弹性负载均衡”。
4. 在左侧导航栏单击“证书管理”。
5. 单击“创建证书”,配置证书内容。
图6-1 创建证书
– 证书类型:
▪
服务器证书:在使用HTTPS协议时,服务器证书用于SSL握手协商,需提 供证书内容和私钥。▪
CA证书: 又称客户端CA公钥证书,用于验证客户端证书的签发者;在 开启HTTPS双向认证功能时,只有当客户端能够出具指定CA签发的证书 时,HTTPS连接才能成功。– 企业项目
– 证书内容:证书内容必须为PEM格式。
单击“上传”,选择上传证书文件,请确保您的浏览器是最新版本。
证书内容格式如下:
---BEGIN CERTIFICATE---Base64–encoded certificate ---END
CERTIFICATE---– 私钥
单击“上传”,选择上传私钥文件,请确保您的浏览器是最新版本。
需注意必须是无密码的私钥。私钥格式如下:
---BEGIN PRIVATE KEY---[key]
---END PRIVATE KEY---说明 server.cer、中间证书文件mid.crt和1个私钥文件private.key。那么需要在
“证书内容”输入框中粘贴server.cer内容、然后回车继续粘贴mid.crt的内 容,并且在“私钥”输入框中粘贴private.key的内容,才能使整个证书链生 效。证书链内容格式如下:
证书内容:
---BEGIN
CERTIFICATE---子证书(服务器证书)文件server.cer内容 ---END
---BEGIN CERTIFICATE---中间证书文件mid.crt内容 ---END
CERTIFICATE---私钥:
---BEGIN PRIVATE KEY---私钥文件private.key内容 ---END PRIVATE
KEY---– 域名
▪
指定多个域名:如果创建的证书用于SNI,则需要指定域名,每个证书可 以指定多个域名。且域名必须与证书中的域名一致。图6-2 指定多个域名
说明
当前支持指定多个域名的区域有:华北-北京四、华东-上海一、华南-广州、中 国-香港、亚太-新加坡。
说明
● 最多可支持30个域名,域名间以逗号分隔;
● 域名只能由字母,数字,中划线组成,中划线不能在开头或末尾;
● 单个字符串不超过63个字符,字符串间以点分隔;
● 单个域名长度不超过100个字符,且总长度不超过1024个字符。
– 描述
修改证书
1. 登录管理控制台。
2. 在管理控制台左上角单击 图标,选择区域和项目。
3. 单击页面左上角的 ,选择“网络 > 弹性负载均衡”。
4. 在左侧导航栏单击“证书管理”。
5. 在证书列表中,在需要修改的证书所在行,单击“修改”。
6. 在“修改证书”对话框中,修改证书的相关信息。
图6-3 修改证书
7. 在确认对话框中单击“确定”,完成修改。
删除证书
删除证书时,只能删除未使用的证书,在使用中的证书无法删除。
1. 登录管理控制台。
2. 在管理控制台左上角单击 图标,选择区域和项目。
3. 单击页面左上角的 ,选择“网络 > 弹性负载均衡”。
4. 在左侧导航栏单击“证书管理”。
5. 在证书列表中,在需要修改的证书所在行,单击“删除”。
6. 在确认对话框中单击“是”,完成删除。