HTTPS监听
为了满足数据传输的安全需求,负载均衡提供了HTTPS监听,支持单向和双向认证。
在使用HTTPS监听时,注意:
在使用HTTPS监听前,您需要将需要的证书上传到负载均衡系统。详情查看上传证书。证书 说明 单向认证是否需要 双向认证是否需 服务器证书
用来证明服务器的身份。
用户浏览器用来检查服务器发送的证书是否是由自己信赖的中心签发的。
是
服务器证书需要上传到负载均衡的证书管理系统。
是
服务器证书需要上传到负载均衡的证书管理系统。客户端证书
用来证明客户端的身份。
用于证明客户端用户的身份,使得客户端用户在与服务器端通信时可以证明其真实身份。您可以用自签名的CA证书为客户端证书签名。否
是
需要客户端进行安装。CA 证书 服务器用CA证书验证客户端证书的签名。如果没有通过验证,拒绝连接。 否
是
服务器证书需要上传到负载均衡的证书管理系统。
证书上传到负载均衡后,负载均衡即可管理证书,不需要在后端ECS上绑定证书。
因为证书的上传、加载和验证都需要一些时间,所以使用HTTPS协议的实例生效也需要一些时间。一般一分钟后就会生效,最长不会超过三分钟。
HTTPS监听使用的ECDHE算法簇支持前向保密技术,不支持将DHE算法簇所需要的安全增强参数文件上传,即PEM证书文件中含BEGIN DH PARAMETERS字段的字串上传。更多详细信息,参考证书要求。
目前负载均衡HTTPS监听不支持SNI(Server Name Indication),您可以改用TCP监听在后端ECS上实现SNI功能。
HTTPS监听的会话ticket保持时间设置为300秒。
HTTPS监听实际产生的流量会比账单流量更多一些,因为会使用一些流量用于协议握手。
在新建连接数很高的情况下,会占用较大的流量。
展开
收起
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
阿里云 AI 助理回答
在阿里云负载均衡服务中,为了确保数据传输的安全性,HTTPS监听功能是一个关键组成部分。它支持单向认证和双向认证,以适应不同场景下的安全需求。下面是对您提供信息的详细解读和补充:
单向认证
- 目的:证明服务器的身份,确保客户端(如用户浏览器)连接的是一个可信的服务器。
- 所需证书:仅需要服务器证书,该证书由受信任的证书颁发机构(CA)签发,用于验证服务器身份。
- 操作步骤:将服务器证书上传至阿里云负载均衡的证书管理系统。负载均衡会自动管理这些证书,无需在后端ECS服务器上单独配置。
双向认证
- 目的:除了验证服务器身份外,还要求验证客户端的身份,适用于对安全性要求极高的场景,比如企业内部系统或特定金融服务。
- 所需证书:除了服务器证书外,还需要客户端证书和CA证书。
- 客户端证书:用以证明客户端的身份,可以是自签名CA签发的,客户端需预先安装此证书。
- CA证书:用于验证客户端证书的有效性,确保客户端证书是由可信赖的CA签发。
- 操作与配置:同样需要将客户端证书和CA证书上传至负载均衡的证书管理系统。
注意事项
- 生效时间:HTTPS监听配置完成后,包括证书加载和验证,可能需要1分钟到3分钟的时间才能完全生效。
- 加密算法:支持ECDHE算法簇实现前向保密,但不支持上传DHE算法的安全增强参数文件。
- SNI限制:当前不支持Server Name Indication (SNI),若需此功能,建议使用TCP监听并在ECS上自行实现。
- 会话保持:HTTPS监听默认的会话ticket保持时间为300秒。
- 流量考量:实际使用的流量可能会比账单显示的多,因为协议握手等过程也会消耗流量,特别是在新建连接频繁的情况下。
综上所述,阿里云负载均衡的HTTPS监听提供了灵活且安全的数据传输方案,通过合理的配置可以满足不同业务场景的安全需求。务必根据实际应用场景选择合适的认证方式,并注意相关配置细节以确保服务的稳定性和安全性。
有帮助
无帮助
AI 助理回答生成答案可能存在不准确,仅供参考
问答标签:
相关问答