更新时间:2024-04-11 GMT+08:00
证书概述
负载均衡器支持三种类型的证书,服务器证书、CA证书、服务器SM双证书。配置HTTPS监听器时,需要为监听器绑定服务器证书,如果开启双向认证功能,还需要绑定CA证书。
- 服务器证书:在使用HTTPS协议时,服务器证书用于SSL握手协商,需提供证书内容和私钥。
- CA证书: 又称客户端CA公钥证书,用于验证客户端证书的签发者;在开启HTTPS双向认证功能时,只有当客户端能够出具指定CA签发的证书时,HTTPS连接才能成功。
- 服务器SM双证书:在使用HTTPS协议时,若采用商密SSL协议,需提供双证书。双证书包括签名证书和加密证书,需成套使用。
服务器SM双证书已上线华北-乌兰察布一,其余区域持续上线中。
- 签名证书:在签名时使用,仅用于验证身份使用,其公钥和私钥均由服务器自己产生,并由服务器自己保管,证书颁发机构(Certificate Authority,简称“CA”)不负责其保管任务。
- 加密证书:在密钥协商时使用,其私钥和公钥均由CA产生,并由CA保管(存根)。
证书管理既支持在华为云购买的证书,也支持您自己生成的证书。
使用证书的注意事项
- 同一个证书在负载均衡器上只需上传一次,可以使用在多个负载均衡器实例中。
- 如果创建的服务器证书用于SNI,则需要指定域名,且指定的域名必须与证书中的域名保持一致。一个证书可以指定多个域名。
- 默认情况下,一个监听器每种类型的证书只能绑定一个,但是一个证书可以被多个监听器绑定。如果监听器开启了SNI功能,则支持绑定多个服务器证书。
- 负载均衡器只支持原始证书,不支持对证书进行加密。
- 可以使用自签名的证书,使用自签名证书和第三方机构颁发的证书对负载均衡器无区别,但是使用自签名证书会存在安全隐患,建议客户使用权威机构颁发的证书。
- 负载均衡器只支持PEM格式的证书,其它格式的证书需要转换成PEM格式后,才能上传到负载均衡。
- ELB不会自动选择未过期的证书,如果您有证书过期了,需要手动更换或者删除证书。
证书格式要求
在创建证书时,您可以直接输入证书内容或上传证书文件。
如果是通过根证书机构颁发的证书,您拿到的证书是唯一的一份,不需要额外的证书,配置的站点即可被浏览器等访问设备认为可信。
服务器证书、CA证书的“证书内容”格式均需按以下要求。
服务器SM双证书中的“SM签名证书内容”和“SM加密证书内容”格式均需按以下要求。
证书内容格式为:
- 以“-----BEGIN CERTIFICATE-----”作为开头,“-----END CERTIFICATE-----”作为结尾。
- 每行64字符,最后一行不超过64字符。
- 证书之间不能有空行。
示例如下:
-----BEGIN CERTIFICATE----- Base64–encoded certificate -----END CERTIFICATE-----
私钥格式要求
在创建服务器证书或服务器SM双证书时,您也需要上传证书的私钥。您可直接输入私钥文件内容或上传符合格式的私钥文件。
服务器SM双证书中的“SM签名证书私钥”和“SM加密证书私钥”格式均需按以下要求。
需注意必须是无密码的私钥,私钥内容格式为:
- 符合PEM格式,如下示例:
- 以“-----BEGIN RSA PRIVATE KEY-----”作为开头,“-----END RSA PRIVATE KEY-----” 作为结尾。
- 以“-----BEGIN EC PRIVATE KEY-----”作为开头,“-----END EC PRIVATE KEY-----” 作为结尾。
- 私钥之间不能有空行,并且每行64字符,最后一行不超过64字符。
示例如下:
-----BEGIN RSA PRIVATE KEY----- [key] -----END RSA PRIVATE KEY-----
