腾讯云CLB是否支持单实例配置多证书呢,答案显然是支持的,腾讯云 CLB 的七层 HTTPS 监听器支持 SNI。SNI(Server Name Indication)是为了解决一个服务器使用多个域名和证书的TLS扩展,主要用来解决一台服务器只能使用一个证书的问题。负载均衡在配置HTTPS监听器支持此功能,即支持绑定多个证书。很多小伙伴可能疑惑应该如何配置实现,本文给大家简要介绍下。
场景示例
用户有两个不同的域名xxxxx.asia与xxxxxx.top,不同域名使用不同的证书,希望能通过同一个CLB的同个HTTPS监听器,将其分别转发到后端的两台不同的实例RS1与RS2中
前提条件
已创建两台同地域,相同VPC下的CVM。
已创建和CVM同VPC的负载均衡
操作步骤
步骤一:新建HTTPS监听器
在负载均衡的监听器管理中,点击【新建】按钮创建监听器
在创建监听器界面
【名称】新建的监听器的名称,可任意给出
【监听协议端口】监听协议选择HTTPS,端口选择443.
【启用长连接】这里选择不启用长连接
【启用SNI】开启SNI,只有启用SNI才能给负载均衡同个监听器下不同域名转发规则配置不同的证书
点击【提交】按钮创建监听器
步骤二:新建转发规则
点击步骤一中新建的监听器左侧的“+”
然后点击开始创建创建监听器
在创建转发规则弹窗中,填写如下信息
【域名】:填写你的域名,例如xxxxx.asia
【默认域名】【HTTP2.0】【QUIC】保持默认
【URL路径】给出转发路径
【均衡方式】任意一种均衡方式,按需选择
【后端协议】HTTP
注意:CLB会做SSL证书的卸载,这里CLB到后端服务器走的是内网,是比较安全的,使用HTTP即可。若这里选择了HTTPS,需保证后端手动安装了证书并监听了对应的端口
【SSL解析方式】单向认证(推荐)
【服务器证书】:选择对应xxxxx.asia的证书,需注意证书与域名需要匹配,否则证书无效。
注意:这里有一个添加证书,容易和多证书混淆,但其实这里的添加证书添加的也是xxxxx.asia这个域名的证书,只是使用的加密算法不同。例如第一张证书使用的是RSA加密算法,第二张证书就只能选择同个域名的不同加密算法的证书,例如ECC算法的证书。
【获取客户端IP】【Gzip压缩】【后端目标组】保持默认即可
点击下一步
全部保持默认即可
点击下一步,然后点击提交
点击监听器右侧的“+”创建新的一条转发规则。其余操作与步骤二一致,仅需修改域名与证书为xxxxx.top何其对应的证书即可
步骤三:绑定后端服务器
依次点击监听器,转发规则右侧的“+”展开列表,选中url路径
在右侧的转发规则详情中,点击【绑定】按钮
选中需要转发至的后端RS。然后端口填写为80端口。点击【确认】
步骤四:添加解析记录
前往负载均衡控制台复制负载均衡的域名/VIP
前往云解析控制台分别对xxxxx.asia与xxxxx.top两个域名添加解析记录
主机记录:@
记录类型:域名型负载均衡选择CNAME
记录值:刚才复制的负载均衡域名
步骤五:结果验证
在浏览器中分别输入xxxxx.top和xxxxx.asia均可访问服务
输入https://xxxxx.asia通过HTTPS访问rs1上的静态网站
输入https://xxxxx.top通过HTTPS访问rs2上的静态网站
我正在参与2024腾讯技术创作特训营最新征文,快来和我瓜分大奖!
