如果ELB的监听器和客户端之间使用HTTPS,需要在ELB上部署SSL证书。ELB先使用此证书来终结客户端的HTTPS连接,解密来自客户端的请求,再将客户端请求通过HTTP方式发送到后端主机组。
天翼云负载均衡器支持两种类型的证书,服务器证书、CA证书。配置HTTPS监听器时,需要为监听器绑定服务器证书,如果开启双向认证功能,还需要绑定CA证书。
单向认证
客户端需要认证主机端的真实性,而主机端不需要认证客户端的真实性。当配置ELB HTTPS类型的监听器时,需要绑定服务器证书。
双向认证
客户端需要认证主机端真实性,同时主机端也需要认证客户端的真实性,需要双方都通过认证,才能正常建立连接响应请求。当配置ELB HTTPS类型的监听器,并开启双向认证时,在为监听器绑定服务器证书的同时,还需要绑定CA证书来验证客户端的真实性。这样只有当客户端能够出具指定CA签发的证书时,HTTPS才能连接成功。
使用须知:
同一个证书在负载均衡器上只需上传一次,可以使用在多个负载均衡器实例中。
默认情况下,一个监听器每种类型的证书只能绑定一个,但是一个证书可以被多个监听器绑定。负载均衡器只支持原始证书,不支持对证书进行加密。
目前ELB不支持对证书有效期等进行检查。
ELB不会自动选择未过期的证书,如果您有证书过期了,需要手动更换或者删除证书。