更新时间:2025-07-25 GMT+08:00

添加HTTPS监听器

操作场景

HTTPS协议适用于需要加密传输的应用。您可以添加一个HTTPS监听转发来自HTTPS协议的请求。ELB对于用户的HTTPS的请求进行解密,然后发送至后端服务器;后端服务器处理完请求后的返回包首先发送至ELB,由ELB进行加密后,再传回用户侧。

添加HTTPS监听器时,要求后端子网预留足够的IP地址,可以通过负载均衡器的“基本信息 > 后端子网”添加多个后端子网来增加后端子网的IP地址。添加子网后,请取消对应子网的ACL配置,否则可能导致负载均衡访问异常。

约束与限制

共享型负载均衡前端协议为“HTTPS”时,后端协议默认为“HTTP”,且不支持修改。

添加共享型负载均衡HTTPS监听器

  1. 进入弹性负载均衡列表页面
  2. 在弹性负载均衡列表页面,单击需要添加监听器的负载均衡名称。
  3. 切换到“监听器”页签,单击“添加监听器”,配置监听器。配置监听器参数参见表1
    表1 共享型负载均衡配置监听器参数说明

    参数

    说明

    前端协议

    客户端与负载均衡监听器建立流量分发连接的协议。

    协议选择HTTPS。

    监听端口

    客户端与负载均衡监听器建立流量分发连接的端口。

    取值范围为:[1-65535]。

    IP地址组

    设置白名单或者黑名单时,必须选择一个IP地址组。如果还未创建IP地址组,需要先创建IP地址组,更多关于IP地址组的信息请参见访问控制IP地址组

    获取客户端IP

    共享型ELB的HTTPS监听器默认支持“获取客户端IP”。

    HTTPS监听器转发时,支持通过X-Forwarded-For字段传递客户端的真实IP,X-Forwarded-For字段记录的第一个IP地址即为客户端真实IP。

    更多详情请参考共享型ELB获取客户端真实IP

    证书配置

    SSL解析方式

    请选择客户端到服务器端认证方式。

    • 单向认证:仅客户端对服务器端的身份进行认证。
    • 双向认证:客户端对服务器端的身份进行认证,服务器端也需要对客户端的身份进行认证。

    服务器证书

    协议类型为HTTPS时,需绑定服务器证书。

    服务器证书用于SSL握手协商,需提供证书内容和私钥。

    CA证书

    协议类型为HTTPS时,且SSL解析方式为“双向认证”时,需绑定CA证书。

    CA证书又称客户端CA公钥证书,用于验证客户端证书的签发者。在进行双向认证时,只有当客户端能够出具指定CA签发的证书,HTTPS连接才能成功。

    SNI

    SNI(Server Name Indication 服务器名称指示)是一种TLS协议的扩展,用于解决在一个监听器托管多个域名时,需要根据不同的请求域名匹配证书进行认证的问题。

    客户端在发起SSL握手请求时提交请求的域名信息,ELB在收到请求后,会根据请求的域名查找证书。

    如果能够找到请求域名对应的SNI证书,则使用该证书进行认证。

    如果没有找到请求域名对应的SNI证书,则使用服务器证书进行认证。

    详情请参见开启SNI证书实现多域名访问

    SNI证书

    开启SNI之后,您需要为监听器配置至少一个SNI证书。

    只能选择指定了SNI扩展域名的服务器证书。

    更多配置(可选)

    安全策略

    支持选择可用的安全策略,更多信息请参见配置TLS安全策略实现加密通信

    HTTP/2

    协议类型为HTTPS时,可选择是否支持该协议类型。详见开启HTTP/2提升通信效率

    空闲超时时间(秒)

    如果在超时时间内一直没有访问请求,负载均衡会中断当前连接,直到下一次请求到来时再重新建立新的连接。

    时间取值范围[0-4000]。

    请求超时时间(秒)

    客户端向负载均衡发起请求,如果在超时时间内客户端没有完成整个请求的传输,负载均衡将放弃等待关闭连接。

    时间取值范围[1-300]。

    响应超时时间(秒)

    负载均衡向后端服务器发起请求,如果超时时间内接收请求的后端服务器无响应,负载均衡会向其他后端服务器重试请求。如果重试期间后端服务器一直没有响应,则负载均衡会给客户端返回HTTP 504错误码。

    时间取值范围[1-300]。

    说明:

    当开启了会话保持功能时,响应超时时间内如果对应的后端服务器无响应,则直接会返回HTTP 504错误码。

    标签

    可通过配置该项使用标签功能。标签的“键”和“值”是一一对应的,其中“键”值是唯一的。

    描述

    对于监听器描述。

    字数范围:0/255。

    附加HTTP头字段

    通过重写X-Forwarded-ELB-IP字段获取负载均衡实例的公网IP地址。

  4. 单击“下一步:配置后端分配策略”,配置监听器的默认后端服务器组。
    1. 推荐选择“使用已有”后端服务器组,您可参考创建后端服务器组进行创建。
    2. 您也可选择“新创建”后端服务器组,添加后端服务器并配置健康检查,
      1. 配置后端服务器组参数请参见表2
      2. 单击“下一步:添加后端服务器”,添加后端服务器并配置健康检查。

        添加后端服务器详见后端服务器概述,配置健康检查参数请参见表3

  5. 单击“下一步:确认配置”。
  6. 确认配置无误后,单击“提交”。