开发者社区> 问答> 正文

负载均衡器配置lets encrypt SSL证书过程。


由于Let's encrypt 提供了免费的SSL证书,好多朋友都开始使用,关于Let's encrypt 证书的安装不再赘述,需要了解的朋友可以自己搜下。Let's encrypt 非根证书颁发机构,因此在SLB上使用的时候最好将中间证书一并提供,否则有些系统无法自己下载中间证书,造成由于证书链不完整导致的证书验证失败,特别是安卓设备无法自己下载中间证书。本文的服务器为Windows 2012, Web服务器为IIS。
1. 从IIS导出证书


在IIS的服务器证书列表内可以看到所有服务器上安装的证书。选中要在阿里云的负载均衡器上配置的证书,在右侧操作列表内选择导出。设置导出目录和证书密码,然后点击确定。完成证书导出。




2. 生成证书公钥和私钥
阿里云的负载均衡器所用的证书格式为pem格式,而IIS导出的证书格式为pfx格式,因此需要将pfx格式转换为pem格式。pfx证书格式内包含了公钥和私钥,可以使用OpenSSL来提取。OpenSSL安装过程不再赘述。
提取公钥
openssl pkcs12 -in certificate.pfx -nokeys-out certificate.pem
提取私钥
openssl pkcs12 -in certificate.pfx-nocerts -out privatekey.pem -nodes
提取的过程中需要输入导出证书时设置的证书密码


3.提取中间证书
在Windows上打开证书(如:在IIS的服务器证书列表内选中要安装的证书,在右侧操作列表内选择查看)。
在证书窗口内点击证书路径标签,选中中间证书(Let's Encrypt Authority X3),点击查看证书按钮,在新弹出的证书窗口选择详细信息标签,点击下方的复制到文件...按钮,将证书导出为Base64 编码 X.509(.CER)(S)格式。设置保存路径,完成导出。






中间证书有效期较长,不需要每次都导出,只要没有过期就可以用上次生成过的。



4.为阿里云的负载均衡器创建证书

包含中间证书的证书内容格式为

-----BEGIN CERTIFICATE-----

公钥内容

-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----

中间证书内容

-----END CERTIFICATE-----

这里的流程是先创建后使用,也可以直接修改,然后创建并使用。
在阿里云的负载均衡器内点击证书——>创建证书
设置一个证书名称,证书类型选择服务器证书,证书内容首先贴入之前生成的pem格式的证书公钥,如:
-----BEGIN CERTIFICATE-----
MIIGEjCCBPqgAwIBAgISBFMNQa7FOo78xeT7TTsNNdJKMA0GCSqGSIb3DQEBCwUA
... ...
KYgV54sbMcZMV/P8RwkhnzG/sMkZ8g==
-----END CERTIFICATE-----
然后将中间证书内容也贴入
-----BEGIN CERTIFICATE-----
MIIEkjCCA3qgAwIBAgIQCgFBQgAAAVOFc2oLheynCDANBgkqhkiG9w0BAQsFADA/
... ...
KOqkqm57TH2H3eDJAkSnh6/DNFu0Qg==
-----END CERTIFICATE-----
最后将私钥贴入私钥框,如:
-----BEGIN PRIVATE KEY-----
MIIEvQIBADANBgkqhkiG9w0BAQEFAASCBKcwggSjAgEAAoIBAQCrdEmPzc7onArI
... ...
F7/5X3wWuLSYyuTRb+H3wpQ=
-----END PRIVATE KEY-----
然后点击确定,完成创建
5.为负载均衡器配置证书
在负载均衡器列表内找到要配置证书的实例,单击实例名,选择监听,在监听列表内找到要配置证书的协议为HTTPS的的配置项。点击其后的配置弹出监听配置窗口。在服务证书中选择刚创建的服务器证书,然后点击下一步按钮,如无必要,无需修改其他配置。直接点击完成即可。





展开
收起
rickcoder 2018-04-24 18:22:05 9513 0
0 条回答
写回答
取消 提交回答
问答排行榜
最热
最新

相关电子书

更多
《应用型负载均衡ALB产品解读》 立即下载
阿里云网络-SLB负载均衡产品介绍 立即下载
负载均衡SLB热点问题解答 立即下载