推荐先点击这里领取阿里云代金券,再点击这里购买阿里云负载均衡,或者点击这里领取腾讯云代金券,再点击这里领取腾讯云负载均衡,可以为你省不少钱。
要配置HTTPS双向认证的监听,您需要在配置监听时上传服务器证书和CA证书。 本指南中使用自签名的CA证书为客户端证书签名,完成以下操作配置HTTPS监听(双向认证): 步骤一:准备服务器证书服务器证书用于用户浏览器检查服务器发送的证书是否是由自己信赖的中心签发的,服务器证书可以到阿里云云盾证书服务购买,也可以到其他服务商处购买。 步骤二:使用OpenSSL生成CA证书- 运行以下命令在/root目录下新建一个ca文件夹,并在ca文件夹下创建四个子文件夹。
- sudo mkdir ca
- cd ca
- sudo mkdir newcerts private conf server
复制代码
其中:
- newcerts目录:用于存放CA签署过的数字证书(证书备份目录)。
- private目录:用于存放CA的私钥。
- conf目录:用于存放一些简化参数用的配置文件。
- server目录:存放服务器证书文件。
- 在conf目录下新建一个包含如下信息的openssl.conf文件。
- [ ca ]
- default_ca = foo
- [ foo ]
- dir = /root/ca
- database = /root/ca/index.txt
- new_certs_dir = /root/ca/newcerts
- certificate = /root/ca/private/ca.crt
- serial = /root/ca/serial
- private_key = /root/ca/private/ca.key
- RANDFILE = /root/ca/private/.rand
- default_days = 365
- default_crl_days= 30
- default_md = md5
- unique_subject = no
- policy = policy_any
- [ policy_any ]
- countryName = match
- stateOrProvinceName = match
- organizationName = match
- organizationalUnitName = match
- localityName = optional
- commonName = supplied
- emailAddress = optional
复制代码
- 运行以下命令生成私钥key文件。
- cd /root/ca
- sudo openssl genrsa -out private/ca.key
复制代码
运行结果如下图所示。 - 运行以下命令并按命令后的示例提供需要输入的信息,然后回车,生成证书请求csr文件。
- sudo openssl req -new -key private/ca.key -out private/ca.csr
复制代码
说明 Common Name请输入您的负载均衡服务的域名。
- 运行以下命令生成凭证crt文件。
- sudo openssl x509 -req -days 365 -in private/ca.csr -signkey private/ca.key -out private/ca.crt
复制代码
- 运行以下命令为CA的key设置起始序列号,可以是任意四个字符。
- 运行以下命令创建CA键库。
- 运行以下命令为移除客户端证书创建一个证书撤销列表。
- sudo openssl ca -gencrl -out /root/ca/private/ca.crl -crldays 7 -config "/root/ca/conf/openssl.conf"
复制代码
输出为: - Using configuration from /root/ca/conf/openssl.conf
复制代码
步骤三:生成客户端证书步骤四:上传服务器证书和CA证书步骤五:安装客户端证书将生成的客户端证书安装到客户端。本教程以Windows客户端,IE浏览器为例。- 打开Git Bash命令行窗口,运行以下命令导出步骤三中生成的客户端证书。
- scp root@IPaddress:/root/ca/users/client.p12 ./
复制代码
说明 IPaddress是生成客户端证书的服务器的IP地址。
- 在IE浏览器中导入下载的客户端证书。
- 打开IE浏览器,单击设置 > Internet选项。
- 单击内容页签,然后单击证书,导入下载的客户端证书。在导入证书时需要输入在步骤三时生成PKCS12文件的密码。
步骤六:配置HTTPS双向认证监听- 登录负载均衡管理控制台。
- 选择华东1(杭州)地域,单击已创建的负载均衡实例ID链接,或者单击监听配置向导。
- 选择监听页签,单击添加监听。
- 在协议&监听页签下,配置监听。
- 选择负载均衡协议:HTTPS
- 监听端口:443
- 调度算法:轮询(RR)
- 单击下一步,在SSL证书页签下,配置SSL证书信息,启用双向认证。
- 服务器证书:选择已上传的服务器证书。
- CA证书: 选择已上传的CA证书。
- 单击下一步,选择默认服务器组页签,单击添加,添加ECS服务器,并将后端协议端口设置为80。
- 单击下一步,开启健康检查。
- 单击下一步,查看监听配置信息。
- 单击提交,提交审核。
- 单击确定。
步骤七:测试HTTPS双向认证- 在实例管理页面,查看健康检查状态。当状态为正常时,表示后端服务器可以正常接收处理负载均衡监听转发的请求。
- 在浏览器中,输入负载均衡的公网服务地址,当提示是否信任客户端证书时,选择信任。
- 刷新浏览器,您可以观察到请求在两台ECS服务器之间转换。
|