如何生成服务器证书和CA证书?
弹性负载均衡支持服务器证书和CA证书创建,可以通过产品控制台进行创建和管理,详见 证书概述。主要参数如下:
| 参数 | 说明 |
|---|---|
| 名称 | 证书名称,只能由数字、字母、-组成,不能以数字和-开头、以-结尾,且长度为2-63字符。 |
| 证书类型 | 可选服务器或者CA证书,本操作选择服务器证书。服务器证书:在使用HTTPS协议时,服务器证书用于SSL握手协商,需提供证书内容和私钥。CA证书:又称客户端CA公钥证书,用于验证客户端证书的签发者;在HTTPS双向认证功能时,只有当客户端能够出具指定CA签发的证书时,HTTPS连接才能成功。 |
| 证书内容 | 支持粘贴证书到内容框,或点击上传证书内容。证书包含证书的公钥和签名等信息,证书扩展名为".pem"或".crt",您可直接输入证书内容或上传证书文件。 (1)通过Root CA机构颁发的证书,证书是唯一的一份,不需要额外的证书,配置的站点即可被浏览器等访问设备认为可信。Root CA证书格式必须符合如下要求:以-----BEGIN CERTIFICATE-----, -----END CERTIFICATE-----开头和结尾。每行64个字符,最后一行长度可以不足64个字符。证书内容不能包含空格。 (2)通过中级CA机构颁发的证书,证书文件包含多份证书,需要将服务器证书与中级证书合并在一起上传。证书链格式必须符合如下要求:-----BEGIN CERTIFICATE----------END CERTIFICATE----------BEGIN CERTIFICATE----------END CERTIFICATE----------BEGIN CERTIFICATE----------END CERTIFICATE-----服务器证书放第一位,中级证书放第二位,中间不能有空行。证书内容不能包含空格。证书之间不能有空行,并且每行64字节。符合证书的格式要求。一般情况下,证书机构在颁发证书时会有对应说明,证书要符合证书机构的格式要求。 |
| 私钥 | 证书的私钥,私钥扩展名为"key",您可直接输入私钥文件内容或上传符合格式的私钥文件。私钥内容格式为:以“-- BEGIN RSA PRIVATE KEY --”作为开头,“--- END RSA PRIVATE KEY--- ”作为结尾。 |
控制台证书管理,可以创建几个证书?
一个账号在单地域可以创建10个证书,包括服务器证书和CA证书。如有更多数量证书的需要,您可通过提工单申请提升配额。控制台创建证书请参考 创建服务器证书 和 创建CA证书 ,更多使用限制请参考 产品使用限制。
弹性负载均衡HTTPS监听器是否支持多证书?
集群资源池弹性负载均衡的HTTPS监听器支持多个SSL证书,主备、集群模式资源池列表见产品简介>产品类型和规格>按资源池区分, 实际情况以控制台展现为准。这意味着您可以在同一个负载均衡器上配置多个SSL证书来支持不同的域名或子域名的加密连接。通过使用HTTPS监听器,您可以将加密的HTTPS流量有效地分发到后端实例,这对于在同一个负载均衡器上托管多个网站或应用程序非常实用。使用不同的SSL证书可以确保每个网站或应用程序都有其独立的安全性保证。
为什么配置了证书,却访问异常?
如果负载均衡配置了证书,但访问异常,可能有以下几个原因:
- 证书配置错误:请确保证书的配置正确无误。检查证书是否正确上传到负载均衡器,并且与域名或主机名匹配。
- 证书过期或无效:如果证书已过期或者无效,浏览器会拒绝连接或显示安全警告。请确保证书有效期内,并且由受信任的证书颁发机构签发。
- 安全组或防火墙限制:检查负载均衡器、后端主机以及相关网络设备的安全组或防火墙规则,确保允许来自负载均衡器的HTTPS流量通过。
- 其他网络问题:检查网络连接是否正常,确保网络链路畅通,防止网络延迟、丢包等问题影响访问。
更换证书会导致网络或者弹性负载均衡连接中断吗?
不会。在更换证书时,已经建立的连接将继续使用旧证书,不会对已经建立的连接重新认证或断开,新建立的连接将使用新证书进行验证,保障更换证书动作时的服务连续。当前部分资源池支持更换证书,具体以控制台页面为准,控制台操作请参考 绑定/更换证书。
弹性负载均衡是否支持泛域名证书?
支持。泛域名证书是一种特殊的数字证书,它可以为一个域名以及该域名下的所有二级或三级子域名提供HTTPS加密保护。这种证书也被称为通配符证书,因为它使用通配符符号(*)来匹配多个子域名。用户可以在控制台创建证书时使用泛域名证书。详情请参考 创建服务器证书。
