Konfiguration von Mutual TLS auf einem Application Load Balancer - Elastic Load Balancing
Erstellen Sie einen Trust StoreOrdnen Sie einen Trust Store zuDetails zum Trust Store anzeigenÄndern Sie einen Trust StoreLöschen Sie einen Trust Store

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Konfiguration von Mutual TLS auf einem Application Load Balancer

Dieser Abschnitt enthält die Verfahren zur Konfiguration des Modus für die gegenseitige TLS Überprüfung für die Authentifizierung auf Application Load Balancers.

Um den Modus für gegenseitiges TLS Passthrough zu verwenden, müssen Sie den Listener nur so konfigurieren, dass er Zertifikate von Clients akzeptiert. Wenn Sie Mutual TLS Passthrough verwenden, sendet der Application Load Balancer die gesamte Client-Zertifikatskette mithilfe von HTTP Headern an das Ziel, sodass Sie die entsprechende Authentifizierungs- und Autorisierungslogik in Ihrer Anwendung implementieren können. Weitere Informationen finden Sie unter Erstellen eines HTTPS Listeners für Ihren Application Load Balancer.

Wenn Sie Mutual TLS im Überprüfungsmodus verwenden, führt der Application Load Balancer eine X.509-Client-Zertifikatsauthentifizierung für Clients durch, wenn ein Load Balancer Verbindungen aushandelt. TLS

Gehen Sie wie folgt vor, um den Modus für die gegenseitige TLS Überprüfung zu verwenden:

  • Erstellen Sie eine neue Trust Store-Ressource.

  • Laden Sie Ihr Zertifizierungsstellenpaket (CA) und optional Sperrlisten hoch.

  • Hängen Sie den Trust Store an den Listener an, der für die Überprüfung von Client-Zertifikaten konfiguriert ist.

Folgen Sie den Verfahren in diesem Abschnitt, um den Modus für die gegenseitige TLS Überprüfung auf Ihrem Application Load Balancer in der AWS Management Console zu konfigurieren. Informationen zur Konfiguration TLS von Mutual mithilfe von API Operationen anstelle der Konsole finden Sie im Application Load Balancer API Reference Guide.

Erstellen Sie einen Trust Store

Es gibt drei Möglichkeiten, einen Trust Store zu erstellen: wenn Sie einen Application Load Balancer erstellen, wenn Sie einen sicheren Listener erstellen und indem Sie die Trust Store-Konsole verwenden. Wenn Sie beim Erstellen eines Load Balancers oder Listeners einen Trust Store hinzufügen, wird der Trust Store automatisch dem neuen Listener zugeordnet. Wenn Sie mithilfe der Trust Store-Konsole einen Trust Store erstellen, müssen Sie ihn selbst einem Listener zuordnen.

In diesem Abschnitt wird das Erstellen eines Trust Stores mithilfe der Trust Store-Konsole behandelt. Die Schritte beim Erstellen eines Application Load Balancer oder Listeners sind jedoch dieselben. Weitere Informationen finden Sie unter Load Balancer und Listener konfigurieren und Listener erstellen. HTTPS

Voraussetzungen:

  • Um einen Trust Store zu erstellen, benötigen Sie ein Zertifikatspaket von Ihrer Zertifizierungsstelle (CA).

Um einen Trust Store mit der Konsole zu erstellen

  1. Öffnen Sie die EC2 Amazon-Konsole unter https://console.aws.amazon.com/ec2/.

  2. Wählen Sie im Navigationsbereich Trust Stores aus.

  3. Wählen Sie Trust Store erstellen aus.

  4. Konfiguration des Vertrauensspeichers

    1. Geben Sie unter Name des Vertrauensspeichers einen Namen für Ihren Vertrauensspeicher ein.

    2. Geben Sie für Certificate Authority Bundle den Amazon S3 S3-Pfad zu dem CA-Zertifikatspaket ein, das Ihr Trust Store verwenden soll.

      Optional: Verwenden Sie die Objektversion, um eine frühere Version des CA-Zertifikatspakets auszuwählen. Andernfalls wird die aktuelle Version verwendet.

  5. Für Widerrufe können Sie optional eine Zertifikatssperrliste zu Ihrem Trust Store hinzufügen.

    1. Geben Sie unter Certificate Revocation List den Amazon S3 S3-Pfad zu der Zertifikatssperrliste ein, die Ihr Trust Store verwenden soll.

      Optional: Verwenden Sie Objektversion, um eine frühere Version der Zertifikatssperrliste auszuwählen. Andernfalls wird die aktuelle Version verwendet.

  6. Für Trust Store-Tags können Sie optional bis zu 50 Tags eingeben, die auf Ihren Trust Store angewendet werden sollen.

  7. Wählen Sie Trust Store erstellen aus.

Ordnen Sie einen Trust Store zu

Nachdem Sie einen Trust Store erstellt haben, müssen Sie ihn einem Listener zuordnen, bevor Ihr Application Load Balancer den Trust Store verwenden kann. Sie können jedem Ihrer sicheren Listener nur einen Trust Store zuordnen, aber ein Trust Store kann mehreren Listenern zugeordnet werden.

In diesem Abschnitt wird das Zuordnen eines Vertrauensspeichers zu einem vorhandenen Listener beschrieben. Alternativ können Sie beim Erstellen eines Application Load Balancer oder Listeners einen Trust Store zuordnen. Weitere Informationen finden Sie unter Load Balancer und Listener konfigurieren und Listener erstellen. HTTPS

So ordnen Sie mithilfe der Konsole einen Trust Store zu

  1. Öffnen Sie die EC2 Amazon-Konsole unter https://console.aws.amazon.com/ec2/.

  2. Wählen Sie im Navigationsbereich Load Balancers aus.

  3. Wählen Sie den Load Balancer aus, um seine Detailseite aufzurufen.

  4. Wählen Sie auf der Registerkarte Listener und Regeln den Link in der Spalte Protokoll:Port, um die Detailseite für den sicheren Listener zu öffnen.

  5. Wählen Sie auf der Registerkarte Sicherheit die Option Einstellungen für sicheren Listener bearbeiten aus.

  6. (Optional) Wenn Gegenseitig nicht aktiviert TLS ist, wählen Sie unter Verwaltung von Client-Zertifikaten die Option Gegenseitige Authentifizierung (mTLS) aus und wählen Sie dann Mit dem Vertrauensspeicher verifizieren aus.

  7. Wählen Sie unter Trust Store den Trust Store aus, den Sie erstellt haben.

  8. Wählen Sie Änderungen speichern.

Details zum Trust Store anzeigen

CA-Zertifikatspakete

Das CA-Zertifikatspaket ist eine erforderliche Komponente des Trust Store. Es handelt sich um eine Sammlung vertrauenswürdiger Stamm- und Zwischenzertifikate, die von einer Zertifizierungsstelle validiert wurden. Diese validierten Zertifikate stellen sicher, dass der Client darauf vertrauen kann, dass das vorgelegte Zertifikat dem Load Balancer gehört.

Sie können den Inhalt des aktuellen CA-Zertifikatspakets jederzeit in Ihrem Trust Store einsehen.

Ein CA-Zertifikatspaket anzeigen

So zeigen Sie ein CA-Zertifikatspaket mit der Konsole an

  1. Öffnen Sie die EC2 Amazon-Konsole unter https://console.aws.amazon.com/ec2/.

  2. Wählen Sie im Navigationsbereich Trust Stores aus.

  3. Wählen Sie den Trust Store aus, um die Detailseite anzuzeigen.

  4. Wählen Sie Actions und dann Get CA Bundle aus.

  5. Wählen Sie Link teilen oder Herunterladen.

Listen zum Widerruf von Zertifikaten

Optional können Sie eine Zertifikatssperrliste für einen Vertrauensspeicher erstellen. Sperrlisten werden von Zertifizierungsstellen veröffentlicht und enthalten Daten für Zertifikate, die gesperrt wurden. Application Load Balancers unterstützen nur Zertifikatssperrlisten in diesem Format. PEM

Wenn eine Zertifikatssperrliste zu einem Vertrauensspeicher hinzugefügt wird, erhält sie eine Sperr-ID. Die Sperrung IDs erhöht sich für jede Sperrliste, die dem Trust Store hinzugefügt wird, und sie können nicht geändert werden. Wenn eine Zertifikatssperrliste aus einem Vertrauensspeicher gelöscht wird, wird auch ihre Sperr-ID gelöscht und für die gesamte Lebensdauer des Vertrauensspeichers nicht wiederverwendet.

Anmerkung

Application Load Balancers können in einer Zertifikatssperrliste keine Zertifikate mit einer negativen Seriennummer widerrufen.

Eine Zertifikatssperrliste anzeigen

So zeigen Sie eine Sperrliste mit der Konsole an

  1. Öffnen Sie die EC2 Amazon-Konsole unter https://console.aws.amazon.com/ec2/.

  2. Wählen Sie im Navigationsbereich Trust Stores aus.

  3. Wählen Sie den Trust Store aus, um die Detailseite anzuzeigen.

  4. Wählen Sie auf der Registerkarte Zertifikatsperrlisten die Optionen Aktionen und dann Sperrliste abrufen aus.

  5. Wählen Sie Link teilen oder Herunterladen aus.

Ändern Sie einen Trust Store

Ein Trust Store kann jeweils nur ein CA-Zertifikatpaket enthalten, aber Sie können das CA-Zertifikatpaket jederzeit ersetzen, nachdem der Trust Store erstellt wurde.

Ersetzen Sie ein CA-Zertifikatspaket

Um ein CA-Zertifikatspaket mithilfe der Konsole zu ersetzen

  1. Öffnen Sie die EC2 Amazon-Konsole unter https://console.aws.amazon.com/ec2/.

  2. Wählen Sie im Navigationsbereich Trust Stores aus.

  3. Wählen Sie den Trust Store aus, um die Detailseite anzuzeigen.

  4. Wählen Sie „Aktionen“ und dann „CA-Bundle ersetzen“.

  5. Geben Sie auf der Seite CA-Bundle ersetzen unter Certificate Authority Bundle den Amazon S3 S3-Standort des gewünschten CA-Bundles ein.

  6. (Optional) Verwenden Sie Objektversion, um eine frühere Version der Zertifikatssperrliste auszuwählen. Andernfalls wird die aktuelle Version verwendet.

  7. Wählen Sie CA-Bundle ersetzen aus.

Fügen Sie eine Sperrliste für Zertifikate hinzu

Um mit der Konsole eine Sperrliste hinzuzufügen

  1. Öffnen Sie die EC2 Amazon-Konsole unter https://console.aws.amazon.com/ec2/.

  2. Wählen Sie im Navigationsbereich Trust Stores aus.

  3. Wählen Sie den Trust Store aus, um seine Detailseite aufzurufen.

  4. Wählen Sie auf der Registerkarte Zertifikatsperrlisten die Option Aktionen und dann Sperrliste hinzufügen aus.

  5. Geben Sie auf der Seite Sperrliste hinzufügen unter Zertifikatssperrliste den Amazon S3 S3-Speicherort der gewünschten Zertifikatssperrliste ein.

  6. (Optional) Verwenden Sie Objektversion, um eine frühere Version der Zertifikatssperrliste auszuwählen. Andernfalls wird die aktuelle Version verwendet.

  7. Wählen Sie Sperrliste hinzufügen

Löschen Sie eine Zertifikatssperrliste

Um eine Sperrliste mit der Konsole zu löschen

  1. Öffnen Sie die EC2 Amazon-Konsole unter https://console.aws.amazon.com/ec2/.

  2. Wählen Sie im Navigationsbereich Trust Stores aus.

  3. Wählen Sie den Trust Store aus, um die Detailseite anzuzeigen.

  4. Wählen Sie auf der Registerkarte Zertifikatsperrlisten die Optionen Aktionen und dann Sperrliste löschen aus.

  5. Bestätigen Sie den Löschvorgang, indem Sie Folgendes eingebenconfirm.

  6. Wählen Sie Löschen aus.

Löschen Sie einen Trust Store

Wenn Sie einen Trust Store nicht mehr benötigen, können Sie ihn löschen.

Hinweis: Sie können keinen Trust Store löschen, der derzeit einem Listener zugeordnet ist.

Um einen Trust Store mit der Konsole zu löschen

  1. Öffnen Sie die EC2 Amazon-Konsole unter https://console.aws.amazon.com/ec2/.

  2. Wählen Sie im Navigationsbereich Trust Stores aus.

  3. Wählen Sie den Trust Store aus, um seine Detailseite aufzurufen.

  4. Wählen Sie Aktionen und dann Trust Store löschen aus.

  5. Bestätigen Sie den Löschvorgang, indem Sie Folgendes eingebenconfirm.

  6. Wählen Sie Löschen