SLB配置自己生成的SSL证书--双向认证

SLB配置自己生成的SSL证书--双向认证

因为公司业务的服务器只提供接口给移动端使用，不需要浏览器访问，而且要求使用双向认证，移动端要预埋证书，这就涉及到证书过期之后必须更新才能访问服务器的问题。使用第三方机构的服务器证书，有效期就1-2年，过期不得不更换，而移动端又不能确保用户及时更新，安全性什么的要求也高。总之，业务的需求决定了最终没有购买第三方机构的服务器证书，而是使用了openssl自己生成的证书。

之前是把证书直接配置在后端服务器上，但考虑到后续业务的扩展以及高可用的要求，还是应该要做负载均衡，所以就尝试在阿里云的SLB服务上做配置。

1.生成证书

首先生成证书，这里我是写了一个build_cert.sh脚本和配置来生成CA证书，以及服务端和客户端证书的，具体编写可以参考这篇文章：https://blog.csdn.net/ustccw/article/details/76691248

我这里生成测试证书使用的域名是：slb.test.mosiliang.top

接着在linux系统终端执行脚本build_cert.sh，就生成了ca.cert，ca.key，client.cert，client.key，server.cert，server.key等后续需要的文件。

2.上传证书

这些证书文件生成之后还不能直接使用，需要做一些格式转换。我这里使用openssl到脚本所在路径下执行如下指令：

openssl pkcs12 -export -in rsa/server.cert -inkey rsa/server.key -out server.pkcs12 -name server -CAfile rsa/ca.cert -caname root -chain

输入密码（随意写，但要记住，因为后续还要用到，我这里是：1523480205018），得到server.pkcs12服务器证书。

但是SLB里要求的证书格式是pem格式，所以要做PKCS#12 到 PEM 的转换：

openssl pkcs12 -in server.pkcs12 -nokeys -out server.pem

接下来上传证书到SLB做配置，先是上传服务器证书，这里要选择第三方签发证书，如下图：

接着下一步选择文件上传，就是server.pem文件，但是这里生成的文件直接上传会提示格式错误，按照里面的样例格式说明（如下图），

打开server.pem文件发现这里生成时多了一些额外的信息，我们只要把BEGIN CERTIFICATE和END CERTIFICATE的两部分单独拷贝到上传证书的输入框那里就可以了。

接着是服务端私钥的上传，也就是前面生成的server.key文件，这里直接上传也会提示格式不对，对比格式样例，我这里是收尾行少了个"RSA"，即按照格式，只要把BEGIN PRIVATE KEY改成BEGIN RSA PRIVATE KEY，END PRIVATE KEY改成END RSA PRIVATE KEY就可以了。

上传服务器证书之后就可以选择证书了。另外，因为要实现双向认证，所以还要启用双向认证并上传CA根证书，如下图：