证书概述

负载均衡器支持两种类型的证书，服务器证书、CA证书。配置HTTPS监听器时，需要为监听器绑定服务器证书，如果开启双向认证功能，还需要绑定CA证书。

服务器证书：在使用HTTPS协议时，服务器证书用于SSL握手协商，需提供证书内容和私钥。
CA证书：又称客户端CA公钥证书，用于验证客户端证书的签发者；在开启HTTPS双向认证功能时，只有当客户端能够出具指定CA签发的证书时，HTTPS连接才能成功。

同一个证书在负载均衡器上只需上传一次，可以使用在多个负载均衡器实例中。
如果创建的服务器证书用于SNI，则需要指定域名，且指定的域名必须与证书中的域名保持一致。每个证书只能指定一个域名。
默认情况下，一个监听器每种类型的证书只能绑定一个，但是一个证书可以被多个监听器绑定。如果监听器开启了SNI功能，则支持绑定多个服务器证书。
负载均衡器只支持原始证书，不支持对证书进行加密。
共享型负载均衡器和后端服务器不能同时使用证书，如果后端服务器使用了证书，那么对应的监听器就不能使用HTTPS协议，可以使用TCP监听器将HTTPS流量透传到后端服务器。独享型负载均衡不存在此限制。
可以使用自签名的证书，使用自签名证书和第三方机构颁发的证书对负载均衡器无区别，但是使用自签名证书会存在安全隐患，建议客户使用权威机构颁发的证书。
负载均衡器只支持PEM格式的证书，其它格式的证书需要转换成PEM格式后，才能上传到负载均衡。
ELB不会自动选择未过期的证书，如果您有证书过期了，需要手动更换或者删除证书。

父主题： 证书管理

提供反馈

提交成功！非常感谢您的反馈，我们会继续努力做到更好！

系统繁忙，请稍后重试

在使用文档中是否遇到以下问题

内容与产品页面不一致

内容不易理解

缺失示例代码

步骤不可操作

搜不到想要的内容

缺少最佳实践

意见反馈（选填）

0/500

请至少选择一项反馈信息并填写问题反馈

字符长度不能超过500

直接提交取消