在配置HTTPS监听器时,需要为监听器绑定SSL证书,用于SSL握手协商,应用于HTTPS单向认证场景。
您可以使用自签名证书或第三方机构颁发的证书。建议使用权威机构颁发的证书,使用自签名证书可能存在安全隐患。
上传SSL证书
负载均衡创建HTTPS监听器时,可以从火山引擎证书中心或CLB侧证书管理模块中获取SSL证书。
名称 | 说明 | 证书到期通知 |
|---|
火山引擎证书中心(推荐) | - 为了便于用户统一管理证书,CLB已经对接火山引擎证书中心。推荐您前往 证书中心控制台 上传证书。
- 在证书中心,您可以一站式实现证书的购买、上传、续费和删除等相关操作。
| - 证书中心可以配置在SSL证书到期前30天、15天、7天、3天,分别发送一次证书到期提醒。
- 可以关闭指定证书的到期提醒。
- 详情请参考 证书消息。
|
CLB侧证书管理模块(不推荐) | | - 系统默认在证书到期前30天、15天、7天、1天以及到期当天的北京时间10:00,分别发送一次到期提醒。
- 如果证书到期时间为北京时间00:00~10:00之间,那么到期当天不会发送消息通知。
- 不支持关闭指定证书的到期提醒。若需要关闭所有证书的到期提醒,请参见 如何取消证书到期提醒。
|
说明
CLB侧的证书管理模块与火山引擎证书中心彼此独立,且SSL证书不会自动同步。
证书要求
负载均衡仅支持PEM格式的证书,其它格式的证书请转换为PEM格式。上传前,请确保您的证书、证书链和私钥符合PEM格式要求。
证书链:指您从证书服务商获取的证书文件,文件中通常包含您自己的证书和中级签发机构的证书。
公钥格式要求
若您获取的证书由根证书机构颁发,您拿到的证书是唯一的一份,不需要额外的证书,配置的站点即可被浏览器等访问设备认为可信。
证书格式
- 以
-----BEGIN CERTIFICATE-----开头,以-----END CERTIFICATE-----结尾。 - 每行64个字符,最后一行长度可以不足64个字符。
- 证书内容不能有空格和空行。
若你获取的证书由中级CA机构颁发,您拿到的证书文件将包含多份证书,需要将证书合并在一起上传。
证书链格式
- SSL证书放第一位,中级证书放第二位,中间不能有空行。
- 证书内容不能有空格。
- 每行64个字符,证书之间不能有空行和空格。
证书链示例
-----BEGIN CERTIFICATE-----
服务器公钥证书(BASE64编码)
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
中级签发机构公钥证书(BASE64编码)
-----END CERTIFICATE-----
私钥格式要求
在创建SSL证书时,您也需要上传证书的私钥。
- 以
-----BEGIN RSA PRIVATE KEY-----开头,以-----END RSA PRIVATE KEY-----结尾。 - 每行64个字符,私钥之间不能有空行,最后一行长度可以不足64字符。
如果您的私钥格式不同,可以按照如下方式转换为可用私钥:
openssl rsa -in old_server_key.pem -out new_server_key.pem
- 以
-----BEGIN EC PARAMETERS-----开头,以-----END EC PARAMETERS-----结尾。 - 每行64个字符,私钥之间不能有空行和空格,最后一行长度可以不足64字符。
如果您的私钥格式不同,可以按照如下方式转换为可用私钥:
openssl ec -in old_server_key.pem -out new_server_key.pem
EC私钥示例
-----BEGIN EC PARAMETERS-----
证书私钥(BASE64编码)
-----END EC PARAMETERS-----
-----BEGIN EC PRIVATE KEY-----
证书私钥(BASE64编码)
-----END EC PRIVATE KEY-----