DigitalOcean的使命是为开发人员提供最简单的云基础架构。 考虑到这一点,负载平衡器旨在平衡简单性和足够的性能和功能,以便大多数应用程序可以使用该产品。
在本文中,我们将重点介绍如何使用Let's Encrypt创建免费SSL证书来保护与Load Balancer的连接。
让我们一起加密和DigitalOcean负载平衡器
成本 :免费。 使用让我们使用DigitalOcean负载平衡器进行加密不需要额外的费用。 有关当前的负载均衡器定价,请参阅DigitalOcean负载均衡器简介 。
区域可用性 :您可以在所有DigitalOcean区域和数据中心中使用Let's加密负载均衡器的证书。
支持的协议::您可以使用HTTPS和HTTP / 2的证书。
证书续订 :负载均衡让我们加密证书是完全管理的,并且每60天自动更新一次。
限制 :
DNS必须在DigitalOcean上管理。
我们的加密证书是为域名而不是IP地址发布的。 要管理DNS记录并让我们代表您加密负载平衡器,必须在DigitalOcean上管理DNS记录。 您可以了解更多关于在设置以及如何从Common Domain Registrars指向DigitalOcean Nameservers仅限SSL终止。
DigitalOcean不会在我们的非托管服务上安装或维护证书。 由于SSL直通需要在Droplet本身上创建证书,并且由于Droplet不是由DigitalOcean管理的,所以自动证书管理不可用。 DigitalOcean负载平衡器上如何配置SSL直通解释了如何使用Let's Encrypt with SSL passthrough。通配符证书不受支持。
让我们在2018年3月加密添加的通配符证书支持。这些通配符证书不受支持,Let's Encrypt 继续为大多数使用情况推荐非通配符证书 。让我们加密限制速率。
让我们加密强制使用以下速率限制以确保合理使用:- 每个注册域名每周20个证书
- 每个证书100个名称
- 每周5份重复的域名证书
Let's Encrypt rate limit页面上提供更多详细信息。
设置负载平衡器并让我们加密
设置您的域名,Droplets,Load Balancer和Let's Encrypt证书按以下顺序将为您提供最直接的成功途径。
将您的DNS移至DigitalOcean
您可以通过IP地址使用负载均衡器和Droplet,无需分配域名。 然而,要使用让我们加密证书,您需要一个使用DigitalOceanNameservers的域,并在DigitalOcean控制面板中管理其DNS记录。
我们建议按以下顺序转移域名:
- 在DigitalOcean控制面板中添加域 。
- 在DigitalOcean上 (如果有的话)。
- 向您的注册商更改您的域名服务器 。
完成后,测试新记录是否按预期工作。
设置您的Droplet,负载平衡器和域名
有几种方法可以设置这些组件,但通常我们推荐以下顺序:
- 创建, 标记和测试您打算平衡的Droplet。
- 创建负载均衡器并添加Droplet。 再次测试。
- 创建您打算与证书一起使用的DNS记录,并将它们指向负载均衡器。
- 编辑负载均衡器并添加HTTPS或HTTP2转发规则。
当您添加规则时,请测试您是否安全地在域中成功访问您的网站。
创建一个新证书
当您为HTTPS或HTTP / 2添加转发规则时,我们将创建加密证书并将其添加到您的负载均衡器。 您可以为A , CNAME和AAAA记录创建证书。
您可以从主要创建负载平衡器屏幕或从单个负载平衡器的设置页面配置转发规则。
要创建证书,请从Load Balancer的新规则菜单中选择HTTPS或HTTP2。
当您这样做时,会出现一个新的证书下拉菜单。
然后,选择+新证书 。 基本域是默认选择的。 
然后选择域: 
选择域名并命名证书。 该名称只能包含字母数字字符,破折号和句点。 
当您选择基本域时,会自动创建一个指向负载均衡器的新A记录。 如果您已经有A记录,这意味着您将有两条A记录:一条指向原始位置,一条指向负载均衡器。 要避免多个A记录,请取消选择基本域。
子域的记录不会自动创建或更改,因此如果它们尚未指向Load Balancer,则需要在“ 网络”部分的“域”选项卡上更新它们。
准备就绪后,点击生成证书 。 在颁发证书时,会显示(等待)状态: 
证书创建完成后,待处理状态将被删除,并且您可以保存转发规则。 
只要您保存转发规则,它就会处于活动状态,您可以开始测试。 如果您的证书未完成,请参阅故障排除部分了解提示。
“+添加新域名”选项
如果您在DigitalOcean的Nameservers上指出了您的域名,但您尚未将其添加到控制面板中,则还可以选择+添加新域名 。 这会自动将您的域名导入控制面板,添加DNS记录并创建证书。
我们强烈建议您在向注册商更改Nameservers之前将您的域添加到DigitalOcean控制面板。 这可以帮助您在更改Nameservers之前通过在DigitalOcean上创建匹配记录来避免服务中断,最多可能需要48小时才能生效。
此外,根据此顺序进行更改可消除另一个DigitalOcean帐户不太可能添加域名并创建记录的可能性,这可能会破坏您的网站,邮件或其他服务。
如果你想继续:
选择添加新证书 。
选择+添加新域 。 您将收到一条警告,提醒您需要向注册服务商更新您的Nameservers,并且可以选择回退或继续。
输入您的域名。
当您生成证书时,该域将被导入到控制面板中。 基本域是默认选择的,不能被取消选择。 指向负载均衡器IP地址的A记录将自动创建。
或者,创建一个或多个子域并将其添加到证书。 将自动创建引用基本域的A记录的
CNAME记录。命名证书。 该名称只能包含字母数字字符,破折号和句点。
点击生成证书 。 在证书颁发之前,会显示待处理状态。
证书颁发后, 保存转发规则。
使用和管理现有证书
现有的证书,包括让我们加密和自定义,都出现在证书下拉列表中。
您可以在HTTPS和HTTP / 2转发规则中分配任何现有证书。
删除现有证书:
- 打开你的用户菜单 。
- 点击设置 。
- 点击安全 。
- 在“ 证书”部分中,打开“ 更多”菜单。
- 点击删除 。
它会在几秒钟内被永久删除。
请注意,证书正在使用时,它不能被删除。 您可以删除转发规则或对其进行编辑,使其不再使用证书,然后返回到“ 证书”选项卡并将其删除。
故障排除
如果您的证书没有在第一次尝试时发出,我们会以20分钟的间隔自动重试最多3次。 之后,我们会将电子邮件发送到您的帐户地址,让您知道证书创建失败。
下一步
了解有关DigitalOcean负载平衡器的更多信息:
- DigitalOcean负载平衡器介绍
- 如何创建您的第一个DigitalOcean负载平衡器
- 如何在DigitalOcean负载平衡器上配置SSL传递
- 如何在DigitalOcean负载平衡器上配置SSL终止
- 如何平衡TCP流量与DigitalOcean负载平衡器
了解更多关于让我们加密:
