ALB 支持 HTTPS 双向认证。若使用 HTTPS 双向认证功能，除了为监听器绑定服务器证书外，您还需要为监听器绑定 CA 证书。该 CA 证书用于验证客户端提供的证书是否可信。

背景信息

在 HTTPS 单向认证场景中，只需要客户端验证服务端是否可信。在该场景中，您只需要为监听器配置服务器证书。监听器通过自身的服务器证书向客户端证明身份。

在金融等对业务安全性要求较高的场景中，您可以开启监听器的 HTTPS 双向认证功能。开启该功能后，客户端和服务端需要互相验证彼此的身份。在该场景中，您不仅需要为监听器配置服务器证书，还需要为监听器配置 CA 证书。监听器通过自身的服务器证书向客户端证明身份，使用 CA 证书验证客户端的身份。

前提条件

• 您已创建监听器。具体操作，请参考创建 HTTPS 监听器、创建 HTTP/2 监听器或创建 QUIC 监听器。
• 您已准备好 CA 证书。您可以使用通过火山引擎私有证书（Private Certificate Authority，PCA）服务颁发的 CA 证书或者来自第三方证书平台的 CA 证书。如果您使用来自第三方证书平台的 CA 证书，您需要先将该 CA 证书上传到 ALB 或者证书中心。具体操作，请参考上传证书到 ALB、上传私有根 CA 证书或上传私有子 CA 证书。

使用限制

• QUIC 监听器不支持国密证书。
• 如需使用采用国密算法的证书，请联系客户经理进行申请。

操作步骤

1. 登录应用型负载均衡控制台。
2. 在 实例管理 页面，找到需要配置的 ALB 实例，单击 操作 列的 配置监听器。
3. 在 监听器 标签页，单击待绑定证书的监听器的名称。
4. 在 监听详情 标签页，单击 双向认证 右侧的编辑按钮。
5. 在 编辑双向认证 对话框中，进行以下设置：
   • 状态：打开 状态 开关，即开启双向认证功能。
   • 证书来源：选择证书来源。您可以选择 使用ALB侧已有证书 或 使用火山引擎PCA服务器证书。
   • CA证书类型：选择 CA 证书的类型。可选类型包括 根CA 和 子CA。 该参数仅在 证书来源 为 使用火山引擎PCA服务器证书 时出现。
   • CA证书：从下拉列表中选择CA证书。
     
6. 配置完成后，单击 确定。