添加HTTPS监听

步骤一：配置监听

1. 登录应用型负载均衡ALB控制台。

2. 在顶部菜单栏，选择实例所属的地域。

3. 选择以下一种方法，打开监听配置向导。

   • 在实例页面，找到目标实例，在操作列单击创建监听。

   • 在实例页面，单击目标实例ID。在监听页签，单击创建监听。

4. 在配置监听配置向导，完成以下配置，然后单击下一步。

   监听配置	说明
   选择监听协议	选择监听的协议类型。 本示例选择HTTPS。
   监听端口	输入用来接收请求并向后端服务器进行请求转发的监听端口，本示例输入443。通常HTTP协议使用80端口，HTTPS协议使用443端口。 端口范围为1~65535。 说明 同一个ALB实例内，相同协议的监听端口不能重复，且HTTP和HTTPS监听端口互不重复。
   监听名称	输入监听名称。
   标签	设置标签键和标签值。 设置标签后，您可以在监听页签使用标签筛选监听。
   高级配置	单击修改展开高级配置。
   启用HTTP 2.0	选择是否开启HTTP 2.0。
   连接空闲超时时间	指定连接空闲超时时间，默认取值范围为1~60秒，如需提升配额，请 前往配额中心申请。 在超时时间内一直没有访问请求，负载均衡会暂时中断当前连接，直到下一次请求来临时重新建立新的连接。 说明 该功能对使用HTTP 2.0的请求暂不生效。
   连接请求超时时间	指定请求超时时间，默认取值范围为1~180秒，如需提升配额，请前往配额中心申请。 在超时时间内后端服务器一直没有响应，负载均衡将放弃等待，给客户端返回HTTP 504错误码。
   数据压缩	开启该配置会对特定文件类型进行压缩，关闭该配置则不会对任何文件类型进行压缩。 目前，Brotli支持压缩所有类型，Gzip支持压缩的类型包括：text/xml、text/plain、text/css、application/javascript、application/x-javascript、application/rss+xml、application/atom+xml、application/xml和application/json。
   查找真实客户端源IP	允许ALB从X-Forwarded-For头字段中查找真实客户端IP开关。开启后，您需要设置可信IP列表。 可信IP列表设置为0.0.0.0/0：表示获取X-Forwarded-For请求标头中最左边的地址，即真实客户端源IP。 可信IP列表设置为proxy1 IP, proxy2 IP,..：表示从右往左获取第一个不在这个列表里面的值，并将其作为真实客户端源IP。 使用场景说明： 当X-Forwarded-For请求标头中包含多个IP地址时，例如X-Forwarded-For: <client-ip-address>, <proxy1>, <proxy2>, …， 最左边的地址是真实客户端IP，如果您需要使用ALB转发规则中基于SourceIp匹配和QPS(基于客户端源IP限速)功能，您需要打开查找真实客户端源IP开关，以便ALB从X-Forwarded-For头字段中查找真实客户端源IP。更多信息，请参见添加转发规则。
   附加HTTP头字段	默认已开启通过X-Forwarded-For头字段获取真实客户端源IP，ALB会将真实客户端源IP地址添加到HTTP头字段，并将其传递给后端服务器。更多信息，请参见通过ALB获取客户端真实IP。 选择您要添加的自定义HTTP头字段： 添加SLB-ID头字段获取负载均衡实例的ID。 添加X-Forwarded-Proto头字段获取实例的监听协议。 添加X-Forwarded-Clientcert-subjectdn头字段获取访问负载均衡实例客户端证书的所有者信息。 添加X-Forwarded-Clientcert-issuerdn头字段获取访问负载均衡实例客户端证书的所发行者信息。 添加X-Forwarded-Clientcert-fingerprint头字段获取访问负载均衡实例客户端证书的指纹取值。 添加X-Forwarded-Clientcert-clientverify头字段获取访问负载均衡实例客户端证书的校验结果。 添加X-Forwarded-Port头字段获取负载均衡实例的监听端口。 添加X-Forwarded-Client-srcport头字段获取访问负载均衡实例客户端的端口。
   开启QUIC升级	选择是否开启QUIC升级，如果开启QUIC升级，请在关联的QUIC监听下拉列表中选择一个已创建的QUIC监听。 如果您未创建QUIC监听，单击创建监听，创建一个QUIC监听。具体操作，请参见添加QUIC监听。 ALB支持iQUIC和gQUIC，具体使用教程请参见使用QUIC协议提升音视频业务访问速度。

步骤二：配置SSL证书

添加HTTPS监听，您需要配置SSL证书以确保您的业务受到加密保护并得到权威机构的身份认证。下表列出了ALB支持配置的证书及证书说明。

1. 在配置SSL证书配置向导，选择一个服务器证书。

   如果没有可选的服务器证书，您可以在下拉框中单击创建SSL证书进入证书中心，在证书中心购买或上传服务器证书。更多信息，请参见购买SSL证书和上传SSL证书。

2. 如果您要开启HTTPS双向认证或者设置TLS安全策略，单击高级配置右侧的修改。

3. 开启高级配置中的启用双向认证。

   • 选择CA证书来源为阿里云签发，在选择默认CA证书下拉框中选择一个CA证书。

     如果没有可选的CA证书，您可以在下拉框中单击购买CA证书创建新证书。更多信息，请参见购买及启用私有CA。

   • 选择CA证书来源为非阿里云签发，在选择默认CA证书下拉框中选择一个CA证书。

     如果没有可选的自签名CA证书，您可以在下拉框中单击上传自签CA证书，在证书应用仓库页面，创建数据来源为上传CA证书的仓库，然后通过证书应用仓库上传自签名根CA或自签名子根CA证书。更多信息，请参见创建并管理证书应用仓库。

   说明

   • 仅标准版和WAF增强版的ALB实例支持双向认证，基础版ALB实例不支持双向认证。

   • 开启双向认证后，如果您后续需要关闭双向认证，请参考以下步骤。

     1. 在实例页面，单击目标实例ID。

     2. 在监听页签，单击目标HTTPS协议监听ID。

     3. 在监听详情页签，在SSL证书区域关闭双向认证开关。

4. 选择TLS安全策略，然后单击下一步。

   如果没有可选的TLS安全策略，您可以在下拉框中单击创建TLS安全策略。

   TLS安全策略包含HTTPS可选的TLS协议版本和配套的加密算法套件，更多信息，请参见TLS安全策略。

步骤三：选择服务器组

在选择服务器组配置向导，选择服务器组，并查看后端服务器信息，然后单击下一步。

步骤四：配置审核

在配置审核页面，确认配置信息，单击提交。