玩转阿里云之SLB证书配置

摘要

本章节是玩转阿里云系列的之SLB证书配置，本章将介绍如何使用阿里云的SLB实现证书加密。由于实验资源要求，本章将通过OPENSSL实现自签名的证书，并通过自签名证书测试SLB证书加密。

步骤

1. 准备证书【本章将以自建为例、已经购买证书可以略过此步骤】
2. 导入证书到SLB
3. SLB配置监听Https

一、自建签名证书【已购买证书掠过】

在已经安装Openssl的linux服务器上，找到证书生成位置

cat /etc/pki/tls/openssl.cnf
dir             = /etc/pki/CA

生成证书以及私钥

初始化证书生成参数

cd /etc/pki/CA
mkdir private crl certs newcerts #新建证书存放目录
echo '00' > serial #新建serial文件并写入初始序列号00
touch index.txt #新建index.txt空文件
openssl genrsa -out private/cakey.pem 1024 #生成CA根证书私钥
openssl req -new -x509 -key private/cakey.pem  -out cacert.pem #生成CA根证书 （记事本打开可以复制到SLB作为CA公钥）

生成服务器证书私钥、证书，可用于https服务器等

openssl genrsa -out private/server.key 1024 （记事本打开可以复制到SLB作为服务器的私钥）
openssl req -new -key private/server.key -out crl/server.csr #生成证书请求文件，可提供认证CA签核，或自签名。
openssl ca -in crl/server.csr -out certs/server.crt #自签名证书

证书导入SLB

导入CA证书(cacert.pem)

黏贴证书内容

导入服务器证书（server.key私钥以及server.crt，直接记事本编辑拷贝）
Server.crt仅拷贝如下：

配置SLB监听（非对称加密配置方式）

添加监听

配置监听

配置提示

TIP:

• 前端协议选择“HTTPS”时，后端只能http，请注意后端服务器组的是设置80端口不是443端口
• 双向认证指的是“SLB”与客户端的认证而不是SLB与后端服务器的认证，开启这个选项要求有客户端证书到客户端安装
• 如果存在a.com，b.com,a1.a.com等多级域名，建议购买通配符混杂域名证书一个

监听
注意：

• 当SLB需要加密是，并后端服务器也要加密时，域名以及端口不需要填写
• 如果需要SLB加密，而后端不加密（即SSL卸载时），后端域名要填写对应证书的域名如anquan.info
  

结语

如果你还需要了解更多技术文章信息，请继续关注Jory博客

Jory's Blog Share For you!Welcome to JORY'S BLOG