负载均衡器支持两种类型的证书，云主机证书、CA证书。配置HTTPS监听器时，需要为监听器绑定云主机证书，如果开启双向认证功能，还需要绑定CA证书。

• 云主机证书：在使用HTTPS协议时，云主机证书用于SSL握手协商，需提供证书内容和私钥。
• CA证书： 又称客户端CA公钥证书，用于验证客户端证书的签发者；在开启HTTPS双向认证功能时，只有当客户端能够出具指定CA签发的证书时，HTTPS连接才能成功。

                    
注意
                    

同一个证书在负载均衡器上只需上传一次，可以使用在多个负载均衡器实例中。
默认情况下，一个监听器每种类型的证书只能绑定一个，但是一个证书可以被多个监听器绑定。
负载均衡器只支持原始证书，不支持对证书进行加密。
共享型负载均衡器和后端云主机不能同时使用证书，如果后端云主机使用了证书，那么对应的监听器就不能使用HTTPS协议，可以使用TCP监听器将HTTPS流量透传到后端云主机。独享型负载均衡不存在此限制。
可以使用自签名的证书，使用自签名证书和第三方机构颁发的证书对负载均衡器无区别，但是使用自签名证书会存在安全隐患，建议客户使用权威机构颁发的证书。
负载均衡器只支持PEM格式的证书，其它格式的证书需要转换成PEM格式后，才能上传到负载均衡。
目前ELB不支持对证书有效期等进行检查。
ELB不会自动选择未过期的证书，如果您有证书过期了，需要手动更换或者删除证书。


                    
                  
                  

证书格式

证书格式要求

在创建证书时，您可以直接输入证书内容或上传证书文件。

如果是通过根证书机构颁发的证书，您拿到的证书是唯一的一份，不需要额外的证书，配置的站点即可被浏览器等访问设备认为可信。

云主机证书、CA证书的“证书内容”格式均需按以下要求。

证书内容格式为：

• 以“-----BEGIN CERTIFICATE-----”作为开头，“-----END CERTIFICATE-----”作为结尾。
• 每行64字符，最后一行不超过64字符。
• 证书之间不能有空行。

私钥格式要求

在创建云主机证书时，您也需要上传证书的私钥。您可直接输入私钥文件内容或上传符合格式的私钥文件。

需注意必须是无密码的私钥，私钥内容格式为：

• 以“-----BEGIN RSA PRIVATE KEY-----”作为开头，“-----END RSA PRIVATE KEY-----” 作为结尾。
• 私钥之间不能有空行，并且每行64字符，最后一行不超过64字符。

格式转换

负载均衡只支持PEM格式的证书，其它格式的证书需要转换成PEM格式后，才能上传到负载均衡。以下是转换成PEM格式的几种常用办法。

DER转换为PEM

DER格式通常使用在Java平台。

运行以下命令进行证书转化：

openssl x509 -inform der -in certificate.cer -out certificate.pem

运行以下命令进行私钥转化：

openssl rsa -inform DER -outform PEM -in privatekey.der -out privatekey.pem

P7B转换为PEM

P7B格式通常使用在Windows Server和Tomcat中。

运行以下命令进行证书转化：

openssl pkcs7 -print_certs -in incertificate.p7b -out outcertificate.cer

PFX转换为PEM

PFX格式通常使用在Windows Server中。

运行以下命令进行证书转化：

openssl pkcs12 -in certname.pfx -nokeys -out cert.pem

运行以下命令进行私钥转化：

openssl pkcs12 -in certname.pfx -nocerts -out key.pem -nodes

创建/修改/删除证书

为了支持HTTPS数据传输加密认证，在创建HTTPS协议监听的时候需绑定证书，负载均衡提供证书管理功能，您可以创建证书、修改证书、删除证书。

新建证书只能绑定于所选类型的负载均衡器，请确保负载均衡器类型选择正确。

创建证书

1. 登录管理控制台。
2. 在管理控制台左上角选择区域和项目。
3. 选择“服务列表 > 网络 > 弹性负载均衡”。
4. 在左侧导航栏单击“证书管理”。
5. 单击“创建证书”，配置证书内容。

• 证书名称
• 证书类型
  • 云主机证书：在使用HTTPS协议时，云主机证书用于SSL握手协商，需提供证书内容和私钥。
  • CA证书：又称客户端CA公钥证书，用于验证客户端证书的签发者；在开启HTTPS双向认证功能时，只有当客户端能够出具指定CA签发的证书时，HTTPS连接才能成功。
• 企业项目
• 证书内容：证书内容必须为PEM格式。当证书类型为“ 云主机证书 ”和“ CA证书 ”时，需要填写。
• 私钥：当证书类型为“ 云主机证书 ”时，需要填写。需注意必须是无密码的私钥。

                    
说明
                    
若是证书链，则需要配置从子证书到根证书的所有证书内容，且证书内容的配置顺序需要为：子证书（云主机证书）> 中间证书 > 根证书。从权威机构颁发的证书，有可能根证书已经预置到云主机内，所以签发证书不包含根证书。此时直接按照“子证书（云主机证书） > 中间证书”完成配置。


                    
                  
                  

修改证书

1. 登录管理控制台。
2. 在管理控制台左上角选择区域和项目。
3. 选择“服务列表 > 网络 > 弹性负载均衡”。
4. 在左侧导航栏单击“证书管理”。
5. 在证书列表中，在需要修改的证书所在行，单击“修改”。
6. 在“修改证书”对话框中，修改证书的相关信息。
7. 在确认对话框中单击“确定”，完成修改。

删除证书

删除证书时，只能删除未使用的证书，在使用中的证书无法删除。

1. 登录管理控制台。
2. 在管理控制台左上角选择区域和项目。
3. 选择“服务列表 > 网络 > 弹性负载均衡”。
4. 在左侧导航栏单击“证书管理”。
5. 在证书列表中，在需要修改的证书所在行，单击“删除”。
6. 在确认对话框中单击“是”，完成删除。

更换证书

1. 登录管理控制台。
2. 在管理控制台左上角选择区域和项目。
3. 选择“服务列表 > 网络 > 弹性负载均衡”。
4. 在“负载均衡器”界面，单击需要修改HTTPS监听器的负载均衡名称。
5. 切换到“监听器”页签：

• 共享型负载均衡器，单击需要修改的HTTPS监听器名称右侧“修改”入口进入。
• 独享型负载均衡器，单击需要修改的HTTPS监听器名称右侧的“配置”入口进入，选择“修改监听器”。

6. “云主机证书”选择需要更换的证书，单击“下一步”。
7. 在“配置后端主机组”对话框中，单击右下角的“完成”。

                    
说明
                    
如果还有其他的服务也使用了待更换的证书，例如Web应用防火墙服务。请在所有服务上完成更换证书的操作，以免证书更换不全面而导致业务不可用。
弹性负载均衡的证书和私钥的更换对业务没有影响。


                    
                  
                  

快速查询证书所关联的监听器

您需要快速查询证书所关联的监听器，方便定位相关配置信息。

1. 登录管理控制台。
2. 在管理控制台左上角选择区域和项目。
3. 选择“服务列表 > 网络 > 弹性负载均衡”。
4. 在左侧导航栏单击“证书管理”。
5. 在证书列表中，在“监听器 (前端协议/端口)”所在列，单击监听器名称，即可查看监听器详细信息。
6. 当关联监听器数量大于5个，在“监听器 (前端协议/端口)”所在列，单击“查看所有”，单击监听器名称，即可查看监听器详细信息。