用戶在阿里云上部署的網站或應用程序對互聯網提供服務時,通常會配置HTTPS加密以確保數據的安全傳輸。針對HTTPS場景,ALB預置了部分常用的TLS安全策略以滿足通用需求,但當您有特定的安全或合規需求時,例如需要僅支持特定版本的TLS協議、禁用某些加密算法套件等,您可在ALB自定義TLS安全策略并配置到監聽中,從而進一步提升業務的安全性。
使用限制
基礎版ALB實例不支持自定義TLS安全策略,僅標準版、WAF增強版ALB實例支持自定義TLS安全策略。基礎版實例如需使用該功能,需要升級ALB實例版本,可參考ALB實例變配。
當您自定義TLS安全策略選擇特定版本的TLS協議、特定的加密算法套件時,需要確保客戶端(例如瀏覽器)同時支持對應協議與加密算法套件,否則有可能導致客戶端與服務端建立連接失敗從而影響用戶正常訪問。
前提條件
步驟一:創建自定義TLS安全策略
在頂部菜單欄,選擇實例所屬的地域。
在左側導航欄,選擇TLS安全策略。
單擊自定義策略頁簽下的創建自定義策略。
根據您的業務需求填寫對應的安全策略名稱,選擇TLS協議最低版本、加密算法套件等信息,參數詳細介紹可參考自定義策略。完成后單擊創建。
步驟二:在HTTPS監聽中應用自定義TLS安全策略
新建HTTPS監聽
在頂部菜單欄,選擇實例所屬的地域。
在左側導航欄,選擇實例。
在實例頁面,找到目標實例,然后在操作列單擊創建監聽。
在配置監聽頁面配置以下信息,其他參數可保持默認值或根據實際情況修改。完成后單擊下一步。
配置
說明
選擇監聽協議
選擇HTTPS。
監聽端口
本文配置端口443。
在配置SSL證書頁面配置以下信息,其他參數可保持默認值或根據實際情況修改。完成后單擊下一步。
配置
說明
選擇服務器證書
選擇準備的服務器證書。
TLS安全策略
選擇步驟一創建的自定義策略。
在選擇服務器組頁面配置以下信息,其他參數可保持默認值或根據實際情況修改。完成后單擊下一步。
配置
說明
選擇服務器組
選擇此前已創建好的服務器組。
在配置審核頁面,檢查配置參數是否有誤,無誤的話單擊提交,等待監聽創建完成。
已有HTTPS監聽
在頂部菜單欄,選擇實例所屬的地域。
在左側導航欄,選擇實例。
在實例頁面,找到目標實例,然后單擊實例ID。
在監聽頁簽,找到目標HTTPS監聽,然后單擊監聽ID。
在SSL證書區域,單擊TLS安全策略后的圖標。
在編輯TLS安全策略對話框,選擇已創建的自定義TLS安全策略,然后單擊保存。
步驟三:配置域名解析
在頂部菜單欄選擇地域。
選擇要進行域名解析的ALB實例,復制其對應的DNS名稱。
完成以下步驟來添加CNAME解析記錄。
登錄域名解析控制臺。
在域名解析頁面單擊添加域名。
在添加域名對話框中輸入您的主機域名,然后單擊確認。
重要您的主機域名需已完成TXT記錄驗證。
在目標域名的操作列單擊解析設置。
在解析設置頁面單擊添加記錄。
在添加記錄面板配置以下信息完成CNAME解析配置,然后單擊確認。
配置
說明
記錄類型
在下拉列表中選擇CNAME。
主機記錄
您的域名的前綴,例如
www
。解析請求來源
選擇默認。
記錄值
輸入域名對應的CNAME地址,即您復制的ALB實例的DNS名稱。
TTL
全稱Time To Live,表示DNS記錄在DNS服務器上的緩存時間,本文使用默認值。
步驟四:結果驗證
在瀏覽器中輸入ALB對應綁定的域名,并多次刷新頁面,您可以看到請求正通過HTTPS協議訪問后端服務,且請求在兩臺ECS之間轉換。
相關文檔
添加HTTPS監聽操作詳細信息和注意事項,可參考添加HTTPS監聽。
TLS安全策略詳情、系統默認策略、默認策略差異等信息可參考TLS安全策略。
當您需要在同一個監聽中將不同域名的HTTPS訪問請求轉發至不同的后端服務器,您可參考單ALB實例配置多域名HTTPS網站實現多域名HTTPS網站。
如果您想實現客戶端到ALB、ALB到后端服務器之間的全鏈路加密通信,提升敏感業務的安全性,您可參考配置全鏈路HTTPS訪問實現加密通信。
當您在處理一些關鍵業務時,希望使用HTTPS雙向認證,通過對客戶端服務端通信雙方做認證,為您的業務提供更高的安全性,您可參考使用ALB部署HTTPS業務(雙向認證)。