- 最新动态
- 功能总览
- 产品介绍
- 计费说明
- 快速入门
- 用户指南
- 最佳实践
-
API参考
- 使用前必读
- API概览
- API版本选择建议
- 如何调用API
- API(V3)
- API(V2)
- API(OpenStack API)
- 应用示例
- 权限和授权项
- 历史API
- 附录
- SDK参考
- 常见问题
- 视频帮助
- 产品术语
-
更多文档
- 用户指南(阿布扎比区域)
- API参考(阿布扎比区域)
-
用户指南 (巴黎区域)
- 产品介绍
- 快速入门
- 负载均衡器
- 监听器
- HTTP/HTTPS监听器高级配置
- 后端服务器组
- 后端服务器(独享型)
- 后端服务器(共享型)
- 证书管理
- 访问控制管理
- TLS安全策略
- 标签管理
- 访问日志
- 监控
- 审计
- 权限管理
- 关于配额
-
常见问题
- 高频常见问题
- 为什么通过负载均衡无法访问后端业务?
- 如何检查弹性负载均衡服务不通或异常中断?
- 如何排查ELB的异常返回码?
- 弹性负载均衡器是否可以单独使用?
- ELB是否支持TCP长连接?
- 弹性负载均衡是否支持后端FTP服务?
- 弹性负载均衡分配的EIP是否为独占?
- 单个用户默认可以创建多少个负载均衡器或监听器?
- ELB权限和使用范围是什么?
- 当负载均衡器正在运行中是否可以调整后端服务器的数量?
- 弹性负载均衡是否可以添加不同操作系统的服务器?
- ELB添加后端的端口号是否可以不一致?
- ELB支持跨用户、跨VPC使用么?
- 负载均衡器的后端服务器可以反过来访问公网/私网负载均衡器上的端口吗?
- ELB能否实现前端是HTTPS协议,后端也是HTTPS协议?
- ELB所属的VPC和子网支持修改吗?
- 是否支持在业务不中断的前提下,将共享型负载均衡升级为独享型负载均衡?
- ELB对于IPv6网络的支持情况是怎样的?
- 如何检查弹性负载均衡前后端流量不一致?
- 如何检查请求不均衡?
- 如何检查弹性负载均衡业务访问延时大?
- 如何检查压测性能上不去?
- 负载均衡器
- 监听器
-
后端服务器
- 为什么后端服务器上收到的健康检查报文间隔和设置的间隔时间不一致?
- 使用ELB后,后端服务器能否访问公网?
- 为什么100开头的IP在频繁访问后端服务器?
- ELB可以跨区域关联后端服务器么?
- 公网负载均衡的后端服务器要不要绑定EIP?
- 如何检查后端服务器网络状态?
- 如何检查后端服务器网络配置?
- 如何检查后端服务器服务状态?
- 后端服务器什么时候被认为是健康的?
- 如何检查通过EIP访问后端云服务器?
- 为什么云监控服务统计的ELB活跃连接数与后端服务器上的连接数不一致?
- 为什么配置了白名单后还能访问后端服务器?
- ELB修改后端服务器权重后多久生效?
- 为什么开启跨VPC后端需要确保负载均衡所属子网至少拥有16个可用IP地址?
- 健康检查
- 获取源IP
- HTTP/HTTPS监听器
- 会话保持
- 证书管理
- 监控
- 修订记录
- API参考 (巴黎区域)
- 用户指南(吉隆坡区域)
- API参考(吉隆坡区域)
- 用户指南(安卡拉区域)
- API参考(安卡拉区域)
- 通用参考
链接复制成功!
证书概述
在弹性负载均衡服务配置单向认证或双向认证时,您需要为HTTPS或TLS监听器配置证书。弹性负载均衡证书管理控制台支持获取您在华为云云证书管理服务中统一管理的SSL服务器证书,也支持您上传您本地拥有的证书。
证书使用场景
当您为弹性负载均衡添加HTTPS或TLS监听器来转发业务请求时,您需要选择SSL解析认证方式。单向认证需要为监听器配置服务器证书,双向认证需要同时配置服务器证书和CA证书。
单向认证 |
仅客户端对服务器端进行认证,您需要为监听器绑定服务器证书,用于验证服务器身份。 |
---|---|
双向认证 |
弹性负载均衡实例与客户端互相提供身份认证,从而允许通过认证的用户访问实例。您需要为监听器绑定服务器证书和CA证书,分别用于验证服务器和客户端的身份,后端服务器无需额外配置双向认证。 |
弹性负载均衡支持创建两种类型的证书,服务器证书、CA证书。
服务器证书 |
在使用HTTPS或TLS协议时,服务器证书用于SSL握手协商过程验证服务器的身份,需提供证书内容和私钥。 |
---|---|
CA证书 |
又称客户端CA公钥证书,用于验证客户端证书签发机构的身份。在配置双向认证功能时,只有当客户端能够出具指定CA签发的证书时,才能成功建立连接。 |
使用证书的注意事项
- 同一个证书在负载均衡器上只需上传一次,可以使用在多个负载均衡器实例中。
- 如果创建的服务器证书用于SNI,则需要指定域名,且指定的域名必须与证书中的域名保持一致。一个证书可以指定多个域名。
- 默认情况下,一个监听器每种类型的证书只能绑定一个,但是一个证书可以被多个监听器绑定。如果监听器开启了SNI功能,则支持绑定多个服务器证书。
- 负载均衡器只支持原始证书,不支持对证书进行加密。
- 可以使用自签名的证书,使用自签名证书和第三方机构颁发的证书对负载均衡器无区别,但是使用自签名证书会存在安全隐患,建议客户使用权威机构颁发的证书。
- 负载均衡器只支持PEM格式的证书,其它格式的证书需要转换成PEM格式后,才能上传到负载均衡。
- ELB不会自动更新证书,如果您有证书过期了,需要手动更换或者删除证书。
证书格式要求
在创建证书时,您可以直接输入证书内容或上传证书文件。
如果是通过根证书机构颁发的证书,您拿到的证书是唯一的一份,不需要额外的证书,配置的站点即可被浏览器等访问设备认为可信。
服务器证书、CA证书的“证书内容”格式均需按以下要求。
- 以“-----BEGIN CERTIFICATE-----”作为开头,“-----END CERTIFICATE-----”作为结尾。
- 每行64字符,最后一行不超过64字符。
- 证书之间不能有空行。
示例如下:
-----BEGIN CERTIFICATE----- Base64–encoded certificate -----END CERTIFICATE-----
私钥格式要求
在创建服务器证书时,您也需要上传证书的私钥。您可直接输入私钥文件内容或上传符合格式的私钥文件。
需注意必须是无密码的私钥,私钥内容格式为:
- 符合PEM格式,如下示例:
- 以“-----BEGIN RSA PRIVATE KEY-----”作为开头,“-----END RSA PRIVATE KEY-----” 作为结尾。
- 以“-----BEGIN EC PRIVATE KEY-----”作为开头,“-----END EC PRIVATE KEY-----” 作为结尾。
- 私钥之间不能有空行,并且每行64字符,最后一行不超过64字符。
示例如下:
-----BEGIN RSA PRIVATE KEY----- [key] -----END RSA PRIVATE KEY-----
格式转换
弹性负载均衡仅支持PEM格式的证书,其它格式的证书需要转换成PEM格式后,才能上传到弹性负载均衡服务。以下是转换成PEM格式的几种常用办法。
DER转换为PEM
DER格式通常使用在Java平台。
运行以下命令进行证书转化:
openssl x509 -inform der -in certificate.cer -out certificate.pem
运行以下命令进行私钥转化:
openssl rsa -inform DER -outform PEM -in privatekey.der -out privatekey.pem
P7B转换为PEM
P7B格式通常使用在Windows Server和Tomcat中。
运行以下命令进行证书转化:
openssl pkcs7 -print_certs -in incertificate.p7b -out outcertificate.cer
PFX转换为PEM
PFX格式通常使用在Windows Server中。
运行以下命令进行证书转化:
openssl pkcs12 -in certname.pfx -nokeys -out cert.pem
运行以下命令进行私钥转化:
openssl pkcs12 -in certname.pfx -nocerts -out key.pem -nodes