Configuración mutua TLS en un Application Load Balancer - Elastic Load Balancing
Creación de un almacén de confianzaAsociar un almacén de confianzaConsulta de los detalles del almacén de confianzaModificación de un almacén de confianzaEliminación de un almacén de confianza

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configuración mutua TLS en un Application Load Balancer

Esta sección incluye los procedimientos para configurar el modo de TLS verificación mutua para la autenticación en los balanceadores de carga de aplicaciones.

Para usar el modo TLS de transferencia mutua, solo necesita configurar el listener para que acepte los certificados de los clientes. Cuando utiliza la transferencia mutuaTLS, Application Load Balancer envía toda la cadena de certificados del cliente al destino HTTP mediante encabezados, lo que le permite implementar la lógica de autenticación y autorización correspondiente en su aplicación. Para obtener más información, consulte Crear un HTTPS listener para su Application Load Balancer.

Cuando se usa el modo mutuo TLS en el modo de verificación, Application Load Balancer realiza la autenticación del certificado de cliente X.509 para los clientes cuando un balanceador de carga negocia las conexiones. TLS

Para utilizar el modo de TLS verificación mutua, realice lo siguiente:

  • Cree un nuevo recurso del almacén de confianza.

  • Cargue su paquete de entidades de certificación (CA) y, si lo desea, las listas de revocación.

  • Adjunte el almacén de confianza al oyente que está configurado para verificar los certificados de los clientes.

Siga los procedimientos de esta sección para configurar el modo de TLS verificación mutua en su Application Load Balancer en. AWS Management Console Para configurar la conexión mutua TLS mediante API operaciones en lugar de la consola, consulte la Guía de APIreferencia de Application Load Balancer.

Creación de un almacén de confianza

Hay tres formas de crear un almacén de confianza: al crear un Equilibrador de carga de aplicación, al crear un oyente seguro y mediante la consola del almacén de confianza. Al agregar un almacén de confianza al crear un equilibrador de carga o un oyente, el almacén de confianza se asocia automáticamente al nuevo oyente. Al crear un almacén de confianza mediante la consola del almacén de confianza, debe asociarlo a un oyente.

En esta sección se describe la creación de un almacén de confianza mediante la consola del almacén de confianza, pero los pasos que se siguen al crear un Equilibrador de carga de aplicación o un oyente son los mismos. Para obtener más información, consulta Configurar un balanceador de carga y un listener y Crear un listener. HTTPS

Requisitos previos:

  • Para crear un almacén de confianza, debe tener un paquete de certificados de su entidad de certificación (CA).

Creación de un almacén de confianza mediante la consola

  1. Abre la EC2 consola de Amazon en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación izquierdo, seleccione Almacenes de confianza.

  3. Seleccione Crear un almacén de confianza.

  4. Configuración del almacén de confianza

    1. En Nombre del almacén de confianza, introduzca un nombre para este.

    2. En el paquete de la entidad de certificación, introduzca la ruta de Amazon S3 al paquete de certificados de CA que desee que utilice su almacén de confianza.

      Opcional: utilice la versión de objeto para seleccionar una versión anterior del paquete de certificados de CA. De lo contrario, se utilizará la versión actual.

  5. En el caso de las revocaciones, si lo desea, puede agregar una lista de revocación de certificados a su almacén de confianza.

    1. En Lista de revocación de certificados, introduzca la ruta de Amazon S3 en la lista de revocación de certificados que quiera que utilice su almacén de confianza.

      Opcional: utilice la versión de objeto para seleccionar una versión anterior de la lista de revocación de certificados. De lo contrario, se utilizará la versión actual.

  6. En el caso de las etiquetas del almacén de confianza, si lo desea, puede introducir hasta 50 etiquetas para aplicarlas a su almacén de confianza.

  7. Seleccione Crear un almacén de confianza.

Asociar un almacén de confianza

Tras crear un almacén de confianza, debe asociarlo a un oyente para que el Equilibrador de carga de aplicación pueda empezar a utilizar el almacén de confianza. Recuerde que solo puede tener un almacén de confianza asociado a cada uno de sus oyentes seguros, pero un almacén de confianza puede estar asociado a varios oyentes.

En esta sección se describe la asociación de un almacén de confianza a un oyente existente. Como alternativa, puede asociar un almacén de confianza al crear un Equilibrador de carga de aplicación o un oyente. Para obtener más información, consulta Configurar un balanceador de carga y un listener y Crear un HTTPS listener.

Asociación de un almacén de confianza mediante la consola

  1. Abre la EC2 consola de Amazon en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación, seleccione Load Balancers.

  3. Seleccione el equilibrador de carga para ver la página de detalles.

  4. En la pestaña Oyentes y reglas, elija el enlace de la columna Protocol:Port para abrir la página de detalles del oyente seguro.

  5. En la pestaña Seguridad, seleccione Editar la configuración del oyente seguro.

  6. (Opcional) Si la conexión mutua no TLS está habilitada, selecciona Autenticación mutua (mTLS) en Gestión de certificados de cliente y, a continuación, selecciona Verificar con un almacén de confianza.

  7. En Almacén de confianza, elija el almacén de confianza que creó.

  8. Elija Guardar cambios.

Consulta de los detalles del almacén de confianza

Agrupaciones de certificados de CA

El paquete de certificados de CA es un componente obligatorio del almacén de confianza. Es un conjunto de certificados raíz e intermedios de confianza que ha validado una entidad de certificación. Estos certificados validados garantizan que el cliente pueda confiar en que el certificado que se presenta es propiedad del equilibrador de carga.

Puede ver el contenido del paquete de certificados de CA actual en su almacén de confianza en cualquier momento.

Consulta de un paquete de certificados de CA

Consulta de un paquete de certificado de CA mediante la consola

  1. Abre la EC2 consola de Amazon en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación izquierdo, seleccione Almacenes de confianza.

  3. Seleccione el almacén de confianza para ver la página de detalles.

  4. Seleccione Acciones y, a continuación, Obtener el paquete de CA.

  5. Elija Compartir enlace o Descargar.

Listas de revocación de certificados

Si lo desea, puede crear una lista de revocación de certificados para un almacén de confianza. Las autoridades de certificación publican las listas de revocación; estas últimas contienen datos de los certificados que se han revocado. Los balanceadores de carga de aplicaciones solo admiten listas de revocación de certificados en este formato. PEM

Cuando se agrega una lista de revocación de certificados a un almacén de confianza, se le asigna un identificador de revocación. La revocación IDs aumenta por cada lista de revocaciones que se agrega al almacén de confianza y no se pueden cambiar. Si se elimina una lista de revocación de certificados de un almacén de confianza, su ID de revocación también se elimina y no se reutiliza mientras funcione el almacén de confianza.

nota

Los Equilibradores de carga de aplicación no pueden revocar los certificados que tengan un número de serie negativo dentro de una lista de revocación de certificados.

Consulta de una lista de revocación de certificados

Consulta de una lista de revocaciones mediante la consola

  1. Abre la EC2 consola de Amazon en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación izquierdo, seleccione Almacenes de confianza.

  3. Seleccione el almacén de confianza para ver la página de detalles.

  4. En la pestaña Listas de revocación de certificados, seleccione Acciones y, a continuación, Obtener lista de revocación.

  5. Elija Compartir enlace o Descargar.

Modificación de un almacén de confianza

Un almacén de confianza solo puede contener un paquete de certificados de CA a la vez, pero puede reemplazar el paquete de certificados de CA en cualquier momento una vez haya creado el almacén de confianza.

Sustitución de un paquete de certificados de CA

Sustitución de un paquete de certificados de CA mediante la consola

  1. Abre la EC2 consola de Amazon en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación izquierdo, seleccione Almacenes de confianza.

  3. Seleccione el almacén de confianza para ver la página de detalles.

  4. Seleccione Acciones y, a continuación, Reemplazar el paquete de CA.

  5. En la página Reemplazar el paquete de CA, en Paquete de entidades de certificación, introduzca la ubicación de Amazon S3 del paquete de CA deseado.

  6. (Opcional) Utilice la versión de objeto para seleccionar una versión anterior de la lista de revocación de certificados. De lo contrario, se utilizará la versión actual.

  7. Seleccione Reemplazar el paquete de CA.

Incorporación de una lista de revocación de certificados

Incorporación de una lista de revocación mediante la consola

  1. Abre la EC2 consola de Amazon en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación izquierdo, seleccione Almacenes de confianza.

  3. Seleccione el almacén de confianza para ver su página de detalles.

  4. En la pestaña Listas de revocación de certificados, seleccione Acciones y, a continuación, Agregar la lista de revocación.

  5. En la página Agregar lista de revocación, en Lista de revocación de certificados, introduzca la ubicación de Amazon S3 de la lista de revocación de certificados que quiera.

  6. (Opcional) Utilice la versión de objeto para seleccionar una versión anterior de la lista de revocación de certificados. De lo contrario, se utilizará la versión actual.

  7. Seleccione Agregar lista de revocación

Eliminación de una lista de revocación de certificados

Eliminación de una lista de revocación mediante la consola

  1. Abre la EC2 consola de Amazon en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación izquierdo, seleccione Almacenes de confianza.

  3. Seleccione el almacén de confianza para ver la página de detalles.

  4. En la pestaña Listas de revocación de certificados, seleccione Acciones y, a continuación, Eliminar lista de revocación.

  5. Para confirmar la eliminación, escriba confirm.

  6. Seleccione Eliminar.

Eliminación de un almacén de confianza

Cuando ya no utilice un almacén de confianza, puede eliminarlo.

Nota: No puede eliminar un almacén de confianza que esté actualmente asociado a un oyente.

Eliminación de un almacén de confianza mediante la consola

  1. Abre la EC2 consola de Amazon en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación izquierdo, seleccione Almacenes de confianza.

  3. Seleccione el almacén de confianza para ver su página de detalles.

  4. Elija Acciones y, a continuación, Eliminar almacén de confianza.

  5. Para confirmar la eliminación, escriba confirm.

  6. Seleccione Eliminar.