申請 Let's Encrypt 通配符證書
阿里云提供的SSL證書服務提供免費的單域名證書,而我們的負載均衡需要使用的是通配符域名,只有這樣負載均衡服務器才能將不同的子域名映射到對應的容器服務上。
阿里云提供的SSL免費證書購買
Let's Encrypt目前已經支持申請通配符證書。虞大膽的這篇博文《Let's Encrypt 終于支持通配符證書了》已經介紹了申請Let's Encrypt通配符證書的具體做法(文中寫到的各命令行中的certbot-auto應為certbot)。值得注意的是,MacOS用戶可以方便地通過HomeBrew安裝
certbot:
brew install certbot
安裝好之后就可參照上述這篇文章進行證書的生成了。
配置負載均衡
使用certbot客戶端申請通配符證書后會在目錄下生成四個文件:
- cert1.pem
- chain1.pem
- fullchain1.pem
- privkey1.pem
我們需要用到的是其中的證書cert1.pem和私鑰privkey1.pem文件。
證書文件
進入負載均衡管理控制臺,選擇Docker集群所對應的負載均衡實例,為其添加一條監聽規則。
添加監聽按鈕
前端協議及端口選擇
HTTPS:443,后端協議及端口選擇HTTP:9080。
添加監聽
在服務器證書處選擇上傳證書。
創建證書
將
cert1.pem文件的內容填寫至公鑰證書處,將privkey1.pem文件內容填寫至私鑰處。之后配置健康檢查或者直接不使用健康檢查,點擊完成完成配置即可。
效果展示
在使用HTTP方式訪問站點時,瀏覽器會提示當前連接不安全。
HTTP訪問站點
在經過上述配置后,即可通過負載均衡的自定義域名使用HTTPS訪問了。文中可以看見站點所使用的證書為
Let's Encrypt通配符證書。
HTTPS訪問站點
參考連接
原文地址:https://www.trojx.me/2018/08/12/aliyun-slb-https-letsencrypt/index.html
