負載均衡器支持兩種類型的證書，云主機證書、CA證書。配置HTTPS監聽器時，需要為監聽器綁定云主機證書，如果開啟雙向認證功能，還需要綁定CA證書。

• 云主機證書：在使用HTTPS協議時，云主機證書用于SSL握手協商，需提供證書內容和私鑰。
• CA證書： 又稱客戶端CA公鑰證書，用于驗證客戶端證書的簽發者；在開啟HTTPS雙向認證功能時，只有當客戶端能夠出具指定CA簽發的證書時，HTTPS連接才能成功。

                    
注意
                    

同一個證書在負載均衡器上只需上傳一次，可以使用在多個負載均衡器實例中。
默認情況下，一個監聽器每種類型的證書只能綁定一個，但是一個證書可以被多個監聽器綁定。
負載均衡器只支持原始證書，不支持對證書進行加密。
共享型負載均衡器和后端云主機不能同時使用證書，如果后端云主機使用了證書，那么對應的監聽器就不能使用HTTPS協議，可以使用TCP監聽器將HTTPS流量透傳到后端云主機。獨享型負載均衡不存在此限制。
可以使用自簽名的證書，使用自簽名證書和第三方機構頒發的證書對負載均衡器無區別，但是使用自簽名證書會存在安全隱患，建議客戶使用權威機構頒發的證書。
負載均衡器只支持PEM格式的證書，其它格式的證書需要轉換成PEM格式后，才能上傳到負載均衡。
目前ELB不支持對證書有效期等進行檢查。
ELB不會自動選擇未過期的證書，如果您有證書過期了，需要手動更換或者刪除證書。


                    
                  
                  

證書格式

證書格式要求

在創建證書時，您可以直接輸入證書內容或上傳證書文件。

如果是通過根證書機構頒發的證書，您拿到的證書是唯一的一份，不需要額外的證書，配置的站點即可被瀏覽器等訪問設備認為可信。

云主機證書、CA證書的“證書內容”格式均需按以下要求。

證書內容格式為：

• 以“-----BEGIN CERTIFICATE-----”作為開頭，“-----END CERTIFICATE-----”作為結尾。
• 每行64字符，最后一行不超過64字符。
• 證書之間不能有空行。

私鑰格式要求

在創建云主機證書時，您也需要上傳證書的私鑰。您可直接輸入私鑰文件內容或上傳符合格式的私鑰文件。

需注意必須是無密碼的私鑰，私鑰內容格式為：

• 以“-----BEGIN RSA PRIVATE KEY-----”作為開頭，“-----END RSA PRIVATE KEY-----” 作為結尾。
• 私鑰之間不能有空行，并且每行64字符，最后一行不超過64字符。

格式轉換

負載均衡只支持PEM格式的證書，其它格式的證書需要轉換成PEM格式后，才能上傳到負載均衡。以下是轉換成PEM格式的幾種常用辦法。

DER轉換為PEM

DER格式通常使用在Java平臺。

運行以下命令進行證書轉化：

openssl x509 -inform der -in certificate.cer -out certificate.pem

運行以下命令進行私鑰轉化：

openssl rsa -inform DER -outform PEM -in privatekey.der -out privatekey.pem

P7B轉換為PEM

P7B格式通常使用在Windows Server和Tomcat中。

運行以下命令進行證書轉化：

openssl pkcs7 -print_certs -in incertificate.p7b -out outcertificate.cer

PFX轉換為PEM

PFX格式通常使用在Windows Server中。

運行以下命令進行證書轉化：

openssl pkcs12 -in certname.pfx -nokeys -out cert.pem

運行以下命令進行私鑰轉化：

openssl pkcs12 -in certname.pfx -nocerts -out key.pem -nodes

創建/修改/刪除證書

為了支持HTTPS數據傳輸加密認證，在創建HTTPS協議監聽的時候需綁定證書，負載均衡提供證書管理功能，您可以創建證書、修改證書、刪除證書。

新建證書只能綁定于所選類型的負載均衡器，請確保負載均衡器類型選擇正確。

創建證書

1. 登錄管理控制臺。
2. 在管理控制臺左上角選擇區域和項目。
3. 選擇“服務列表 > 網絡 > 彈性負載均衡”。
4. 在左側導航欄單擊“證書管理”。
5. 單擊“創建證書”，配置證書內容。

• 證書名稱
• 證書類型
  • 云主機證書：在使用HTTPS協議時，云主機證書用于SSL握手協商，需提供證書內容和私鑰。
  • CA證書：又稱客戶端CA公鑰證書，用于驗證客戶端證書的簽發者；在開啟HTTPS雙向認證功能時，只有當客戶端能夠出具指定CA簽發的證書時，HTTPS連接才能成功。
• 企業項目
• 證書內容：證書內容必須為PEM格式。當證書類型為“ 云主機證書 ”和“ CA證書 ”時，需要填寫。
• 私鑰：當證書類型為“ 云主機證書 ”時，需要填寫。需注意必須是無密碼的私鑰。

                    
說明
                    
若是證書鏈，則需要配置從子證書到根證書的所有證書內容，且證書內容的配置順序需要為：子證書（云主機證書）> 中間證書 > 根證書。從權威機構頒發的證書，有可能根證書已經預置到云主機內，所以簽發證書不包含根證書。此時直接按照“子證書（云主機證書） > 中間證書”完成配置。


                    
                  
                  

修改證書

1. 登錄管理控制臺。
2. 在管理控制臺左上角選擇區域和項目。
3. 選擇“服務列表 > 網絡 > 彈性負載均衡”。
4. 在左側導航欄單擊“證書管理”。
5. 在證書列表中，在需要修改的證書所在行，單擊“修改”。
6. 在“修改證書”對話框中，修改證書的相關信息。
7. 在確認對話框中單擊“確定”，完成修改。

刪除證書

刪除證書時，只能刪除未使用的證書，在使用中的證書無法刪除。

1. 登錄管理控制臺。
2. 在管理控制臺左上角選擇區域和項目。
3. 選擇“服務列表 > 網絡 > 彈性負載均衡”。
4. 在左側導航欄單擊“證書管理”。
5. 在證書列表中，在需要修改的證書所在行，單擊“刪除”。
6. 在確認對話框中單擊“是”，完成刪除。

更換證書

1. 登錄管理控制臺。
2. 在管理控制臺左上角選擇區域和項目。
3. 選擇“服務列表 > 網絡 > 彈性負載均衡”。
4. 在“負載均衡器”界面，單擊需要修改HTTPS監聽器的負載均衡名稱。
5. 切換到“監聽器”頁簽：

• 共享型負載均衡器，單擊需要修改的HTTPS監聽器名稱右側“修改”入口進入。
• 獨享型負載均衡器，單擊需要修改的HTTPS監聽器名稱右側的“配置”入口進入，選擇“修改監聽器”。

6. “云主機證書”選擇需要更換的證書，單擊“下一步”。
7. 在“配置后端主機組”對話框中，單擊右下角的“完成”。

                    
說明
                    
如果還有其他的服務也使用了待更換的證書，例如Web應用防火墻服務。請在所有服務上完成更換證書的操作，以免證書更換不全面而導致業務不可用。
彈性負載均衡的證書和私鑰的更換對業務沒有影響。


                    
                  
                  

快速查詢證書所關聯的監聽器

您需要快速查詢證書所關聯的監聽器，方便定位相關配置信息。

1. 登錄管理控制臺。
2. 在管理控制臺左上角選擇區域和項目。
3. 選擇“服務列表 > 網絡 > 彈性負載均衡”。
4. 在左側導航欄單擊“證書管理”。
5. 在證書列表中，在“監聽器 (前端協議/端口)”所在列，單擊監聽器名稱，即可查看監聽器詳細信息。
6. 當關聯監聽器數量大于5個，在“監聽器 (前端協議/端口)”所在列，單擊“查看所有”，單擊監聽器名稱，即可查看監聽器詳細信息。