证书使用场景
当您为弹性负载均衡添加HTTPS监听器来转发业务请求时,您需要选择SSL解析认证方式。单向认证需要为监听器配置服务器证书,双向认证需要同时配置服务器证书和CA证书。
表-SSL解析方式
| SSL认证方式 | 说明 |
|---|---|
| 单向认证 | 仅客户端对服务器端进行认证,您需要为监听器绑定服务器证书,用于验证服务器身份。 |
| 双向认证 | 弹性负载均衡实例与客户端互相提供身份认证,从而允许通过认证的用户访问实例。您需要为监听器绑定服务器证书和CA证书,分别用于验证服务器和客户端的身份,后端服务器无需额外配置双向认证。 |
负载均衡器支持三种类型的证书,主机证书、CA证书、主机SM双证书。
表-证书类型
| 证书类型 | 说明 |
|---|---|
| 主机证书 | 在使用HTTPS协议时,主机证书用于SSL握手协商过程验证服务器的身份,需提供证书内容和私钥。 |
| CA证书 | 又称客户端CA公钥证书,用于验证客户端证书签发机构的身份。在配置双向认证功能时,只有当客户端能够出具指定CA签发的证书时,才能成功建立连接。 |
| 主机SM双向证书 | 在使用HTTPS协议时,若采用商密SSL协议,需提供双证书。双证书包括签名证书和加密证书,需成套使用。 签名证书:在签名时使用,仅用于验证身份使用,其公钥和私钥均由服务器自己产生,并由服务器自己保管,证书颁发机构(Certificate Authority,简称“CA”)不负责其保管任务。 加密证书:在密钥协商时使用,其私钥和公钥均由CA产生,并由CA保管(存根)。 |
说明
主机SM双证书功能陆续上线中,请以控制台实际显示为准。
使用证书的注意事项
注意
- 同一个证书在负载均衡器上只需上传一次,可以使用在多个负载均衡器实例中。
- 默认情况下,一个监听器每种类型的证书只能绑定一个,但是一个证书可以被多个监听器绑定。
- 负载均衡器只支持原始证书,不支持对证书进行加密。
- 共享型负载均衡器和后端云主机不能同时使用证书,如果后端云主机使用了证书,那么对应的监听器就不能使用HTTPS协议,可以使用TCP监听器将HTTPS流量透传到后端云主机。独享型负载均衡不存在此限制。
- 可以使用自签名的证书,使用自签名证书和第三方机构颁发的证书对负载均衡器无区别,但是使用自签名证书会存在安全隐患,建议客户使用权威机构颁发的证书。
- 负载均衡器只支持PEM格式的证书,其它格式的证书需要转换成PEM格式后,才能上传到负载均衡。
- 目前ELB不支持对证书有效期等进行检查。
- ELB不会自动选择未过期的证书,如果您有证书过期了,需要手动更换或者删除证书。
证书格式
证书格式要求
在创建证书时,您可以直接输入证书内容或上传证书文件。
如果是通过根证书机构颁发的证书,您拿到的证书是唯一的一份,不需要额外的证书,配置的站点即可被浏览器等访问设备认为可信。
云主机证书、CA证书的“证书内容”格式均需按以下要求。
证书内容格式为:
以“-----BEGIN CERTIFICATE-----”作为开头,“-----END CERTIFICATE-----”作为结尾。
每行64字符,最后一行不超过64字符。
证书之间不能有空行。
私钥格式要求
在创建云主机证书时,您也需要上传证书的私钥。您可直接输入私钥文件内容或上传符合格式的私钥文件。
需注意必须是无密码的私钥,私钥内容格式为:
以“-----BEGIN RSA PRIVATE KEY-----”作为开头,“-----END RSA PRIVATE KEY-----” 作为结尾。
私钥之间不能有空行,并且每行64字符,最后一行不超过64字符。
格式转换
负载均衡只支持PEM格式的证书,其它格式的证书需要转换成PEM格式后,才能上传到负载均衡。以下是转换成PEM格式的几种常用办法。
DER转换为PEM
DER格式通常使用在Java平台。
运行以下命令进行证书转化:
openssl x509 -inform der -in certificate.cer -out certificate.pem
运行以下命令进行私钥转化:
openssl rsa -inform DER -outform PEM -in privatekey.der -out privatekey.pem
P7B转换为PEM
P7B格式通常使用在Windows Server和Tomcat中。
运行以下命令进行证书转化:
openssl pkcs7 -print_certs -in incertificate.p7b -out outcertificate.cer
PFX转换为PEM
PFX格式通常使用在Windows Server中。
运行以下命令进行证书转化:
openssl pkcs12 -in certname.pfx -nokeys -out cert.pem
运行以下命令进行私钥转化:
openssl pkcs12 -in certname.pfx -nocerts -out key.pem -nodes
创建/修改/删除证书
为了支持HTTPS数据传输加密认证,在创建HTTPS协议监听的时候需绑定证书,负载均衡提供证书管理功能,您可以创建证书、修改证书、删除证书。
新建证书只能绑定于所选类型的负载均衡器,请确保负载均衡器类型选择正确。
创建证书
登录管理控制台。
在管理控制台左上角选择区域和项目。
选择“服务列表 > 网络 > 弹性负载均衡”。
在左侧导航栏单击“证书管理”。
单击“创建证书”,配置证书内容。
证书名称
证书类型
主机证书:在使用HTTPS协议时,主机证书用于SSL握手协商,需提供证书内容和私钥。
CA证书:又称客户端CA公钥证书,用于验证客户端证书的签发者;在开启HTTPS双向认证功能时,只有当客户端能够出具指定CA签发的证书时,HTTPS连接才能成功。
主机SM双证书:在使用HTTPS协议时,若采用商密SSL协议,需提供双证书。双证书包括签名证书和加密证书,需成套使用,当前不支持SM双证书的证书链。同时支持云证书与管理服务提供的服务器数字证书和您的自有证书。
说明
- 主机SM双证书功能陆续上线中,请以控制台实际显示为准。
企业项目
证书内容:证书内容必须为PEM格式。当证书类型为“ 主机证书 ”和“ CA证书 ”时,需要填写。
私钥:当证书类型为“ 主机证书 ”时,需要填写。需注意必须是无密码的私钥。
说明
- 若是证书链,则需要配置从子证书到根证书的所有证书内容,且证书内容的配置顺序需要为:子证书(主机证书)> 中间证书 > 根证书。从权威机构颁发的证书,有可能根证书已经预置到云主机内,所以签发证书不包含根证书。此时直接按照“子证书(主机证书) > 中间证书”完成配置。
修改证书
登录管理控制台。
在管理控制台左上角选择区域和项目。
选择“服务列表 > 网络 > 弹性负载均衡”。
在左侧导航栏单击“证书管理”。
在证书列表中,在需要修改的证书所在行,单击“修改”。
在“修改证书”对话框中,修改证书的相关信息。
在确认对话框中单击“确定”,完成修改。
删除证书
删除证书时,只能删除未使用的证书,在使用中的证书无法删除。
登录管理控制台。
在管理控制台左上角选择区域和项目。
选择“服务列表 > 网络 > 弹性负载均衡”。
在左侧导航栏单击“证书管理”。
在证书列表中,在需要修改的证书所在行,单击“删除”。
在确认对话框中单击“是”,完成删除。
更换证书
登录管理控制台。
在管理控制台左上角选择区域和项目。
选择“服务列表 > 网络 > 弹性负载均衡”。
在“负载均衡器”界面,单击需要修改HTTPS监听器的负载均衡名称。
切换到“监听器”页签:
共享型负载均衡器,单击需要修改的HTTPS监听器名称右侧“修改”入口进入。
独享型负载均衡器,单击需要修改的HTTPS监听器名称右侧的“配置”入口进入,选择“修改监听器”。
“主机证书”选择需要更换的证书,单击“下一步”。
在“配置后端主机组”对话框中,单击右下角的“完成”。
说明
- 如果还有其他的服务也使用了待更换的证书,例如Web应用防火墙服务。请在所有服务上完成更换证书的操作,以免证书更换不全面而导致业务不可用。
- 弹性负载均衡的证书和私钥的更换对业务没有影响。
快速查询证书所关联的监听器
您需要快速查询证书所关联的监听器,方便定位相关配置信息。
登录管理控制台。
在管理控制台左上角选择区域和项目。
选择“服务列表 > 网络 > 弹性负载均衡”。
在左侧导航栏单击“证书管理”。
在证书列表中,在“监听器 (前端协议/端口)”所在列,单击监听器名称,即可查看监听器详细信息。
当关联监听器数量大于5个,在“监听器 (前端协议/端口)”所在列,单击“查看所有”,单击监听器名称,即可查看监听器详细信息。
