Configuración mutua TLS en un Application Load Balancer - Elastic Load Balancing
Cree un almacén de confianzaAsocia un almacén de confianzaConsulta los detalles del almacén de confianzaModifica un almacén de confianzaEliminar un almacén de confianza

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configuración mutua TLS en un Application Load Balancer

Esta sección incluye los procedimientos para configurar el modo de TLS verificación mutua para la autenticación en los balanceadores de carga de aplicaciones.

Para usar el modo TLS de transferencia mutua, solo necesita configurar el listener para que acepte los certificados de los clientes. Cuando utiliza la transferencia mutuaTLS, Application Load Balancer envía toda la cadena de certificados del cliente al destino HTTP mediante encabezados, lo que le permite implementar la lógica de autenticación y autorización correspondiente en su aplicación. Para obtener más información, consulte Crear un HTTPS listener para su Application Load Balancer.

Cuando se usa el modo mutuo TLS en el modo de verificación, Application Load Balancer realiza la autenticación del certificado de cliente X.509 para los clientes cuando un balanceador de carga negocia las conexiones. TLS

Para utilizar el modo de TLS verificación mutua, realice lo siguiente:

  • Cree un nuevo recurso de almacén de confianza.

  • Cargue su paquete de entidades de certificación (CA) y, si lo desea, las listas de revocación.

  • Adjunte el almacén de confianza al agente de escucha que está configurado para verificar los certificados de los clientes.

Siga los procedimientos de esta sección para configurar el modo de TLS verificación mutua en su Application Load Balancer en. AWS Management Console Para configurar la conexión mutua TLS mediante API operaciones en lugar de la consola, consulte la Guía de APIreferencia de Application Load Balancer.

Cree un almacén de confianza

Hay tres formas de crear un almacén de confianza: al crear un Application Load Balancer, al crear un agente de escucha seguro y mediante la consola de Trust Store. Al añadir un almacén de confianza al crear un equilibrador de carga o un agente de escucha, el almacén de confianza se asocia automáticamente al nuevo agente de escucha. Al crear un almacén de confianza mediante la consola de Trust Store, debe asociarlo usted mismo a un agente de escucha.

En esta sección se describe la creación de un almacén de confianza mediante la consola de Trust Store, pero los pasos que se siguen al crear un Application Load Balancer o un listener son los mismos. Para obtener más información, consulte Configurar un equilibrador de carga y un agente de escucha y Añadir un agente de escucha. HTTPS

Requisitos previos:

  • Para crear un almacén de confianza, debe tener un paquete de certificados de su autoridad de certificación (CA).

Para crear un almacén de confianza mediante la consola

  1. Abre la EC2 consola de Amazon en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación, selecciona Trust Stores.

  3. Seleccione Crear un almacén de confianza.

  4. Configuración del almacén de confianza

    1. En Nombre del almacén de confianza, introduzca un nombre para su almacén de confianza.

    2. Para el paquete de autoridad de certificación, introduzca la ruta de Amazon S3 al paquete de certificados ca que desee que utilice su almacén de confianza.

      Opcional: utilice la versión de objeto para seleccionar una versión anterior del paquete de certificados de CA. De lo contrario, se utilizará la versión actual.

  5. En el caso de las revocaciones, si lo desea, puede añadir una lista de certificados revocados a su almacén de confianza.

    1. En Lista de revocaciones de certificados, introduzca la ruta de Amazon S3 a la lista de revocación de certificados que desee que utilice su almacén de confianza.

      Opcional: utilice la versión de objeto para seleccionar una versión anterior de la lista de revocación de certificados. De lo contrario, se utilizará la versión actual.

  6. En el caso de las etiquetas del almacén de confianza, si lo desea, puede introducir hasta 50 etiquetas para aplicarlas a su almacén de confianza.

  7. Selecciona Crear un almacén de confianza.

Asocia un almacén de confianza

Tras crear un almacén de confianza, debe asociarlo a un agente de escucha antes de que Application Load Balancer pueda empezar a utilizar el almacén de confianza. Solo puede tener un almacén de confianza asociado a cada uno de sus agentes de escucha seguros, pero un almacén de confianza puede estar asociado a varios agentes de escucha.

En esta sección se describe la asociación de un almacén de confianza a un oyente existente. Como alternativa, puede asociar un almacén de confianza al crear un Application Load Balancer o un listener. Para obtener más información, consulte Configurar un equilibrador de carga y un agente de escucha y Añadir un agente de escucha. HTTPS

Para asociar un almacén de confianza mediante la consola

  1. Abre la EC2 consola de Amazon en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación, seleccione Load Balancers.

  3. Selecciona el balanceador de cargas para ver su página de detalles.

  4. En la pestaña Listeners and rules, selecciona el enlace de la columna Protocol:Port para abrir la página de detalles del listener seguro.

  5. En la pestaña Seguridad, seleccione Editar la configuración del agente de escucha seguro.

  6. (Opcional) Si la conexión mutua no TLS está habilitada, seleccione Autenticación mutua (mTLS) en Gestión de certificados de cliente y, a continuación, elija Verificar con un almacén de confianza.

  7. En Almacén de confianza, elija el almacén de confianza que ha creado.

  8. Elija Guardar cambios.

Consulta los detalles del almacén de confianza

Paquetes de certificados de CA

El paquete de certificados de CA es un componente obligatorio del almacén de confianza. Es un conjunto de certificados raíz e intermedios de confianza que han sido validados por una autoridad de certificación. Estos certificados validados garantizan que el cliente pueda confiar en que el certificado que se presenta es propiedad del balanceador de cargas.

Puede ver el contenido del paquete de certificados de CA actual en su almacén de confianza en cualquier momento.

Vea un paquete de certificados de CA

Para ver un paquete de certificados de CA mediante la consola

  1. Abre la EC2 consola de Amazon en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación, selecciona Trust Stores.

  3. Seleccione el almacén de confianza para ver la página de detalles.

  4. Seleccione Acciones y, a continuación, Obtenga el paquete CA.

  5. Elija Compartir enlace o Descargar.

Listas de revocación de certificados

Si lo desea, puede crear una lista de revocaciones de certificados para un almacén de confianza. Las autoridades de certificación publican las listas de revocación y contienen datos de los certificados que se han revocado. Los balanceadores de carga de aplicaciones solo admiten listas de revocación de certificados en este formato. PEM

Cuando se agrega una lista de revocaciones de certificados a un almacén de confianza, se le asigna un identificador de revocación. La revocación IDs aumenta por cada lista de revocaciones que se añade al almacén de confianza y no se puede cambiar. Si se elimina una lista de revocación de certificados de un almacén de confianza, su identificador de revocación también se elimina y no se reutiliza mientras dure el almacén de confianza.

nota

Los balanceadores de carga de aplicaciones no pueden revocar los certificados que tengan un número de serie negativo dentro de una lista de revocación de certificados.

Ver una lista de revocaciones de certificados

Para ver una lista de revocaciones mediante la consola

  1. Abre la EC2 consola de Amazon en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación, selecciona Trust Stores.

  3. Seleccione el almacén de confianza para ver la página de detalles.

  4. En la pestaña Listas de revocación de certificados, seleccione Acciones y, a continuación, Obtener lista de revocaciones.

  5. Selecciona Compartir enlace o Descargar.

Modifica un almacén de confianza

Un almacén de confianza solo puede contener un paquete de certificados de CA a la vez, pero puede reemplazar el paquete de certificados de CA en cualquier momento una vez creado el almacén de confianza.

Sustituya un paquete de certificados de CA

Para reemplazar un paquete de certificados de CA mediante la consola

  1. Abre la EC2 consola de Amazon en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación, selecciona Trust Stores.

  3. Seleccione el almacén de confianza para ver la página de detalles.

  4. Seleccione Acciones y, a continuación, Sustituya el paquete CA.

  5. En la página Reemplazar paquete de CA, en Paquete de autoridad de certificación, introduzca la ubicación de Amazon S3 del paquete de CA deseado.

  6. (Opcional) Utilice la versión de objeto para seleccionar una versión anterior de la lista de revocaciones de certificados. De lo contrario, se utilizará la versión actual.

  7. Seleccione Reemplazar el paquete CA.

Agregue una lista de revocaciones de certificados

Para añadir una lista de revocaciones mediante la consola

  1. Abre la EC2 consola de Amazon en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación, selecciona Trust Stores.

  3. Seleccione el almacén de confianza para ver su página de detalles.

  4. En la pestaña Listas de revocación de certificados, selecciona Acciones y, a continuación, Añadir lista de revocaciones.

  5. En la página Añadir lista de revocaciones, en Lista de revocaciones de certificados, introduzca la ubicación de Amazon S3 de la lista de revocaciones de certificados deseada.

  6. (Opcional) Utilice la versión de objeto para seleccionar una versión anterior de la lista de revocaciones de certificados. De lo contrario, se utilizará la versión actual.

  7. Seleccione Añadir lista de revocaciones

Eliminar una lista de revocaciones de certificados

Para eliminar una lista de revocaciones mediante la consola

  1. Abre la EC2 consola de Amazon en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación, selecciona Trust Stores.

  3. Seleccione el almacén de confianza para ver la página de detalles.

  4. En la pestaña Listas de revocación de certificados, seleccione Acciones y, a continuación, Eliminar lista de revocaciones.

  5. Confirme la eliminación escribiendo. confirm

  6. Seleccione Eliminar.

Eliminar un almacén de confianza

Cuando ya no utilices un almacén de confianza, puedes eliminarlo.

Nota: No puedes eliminar un almacén de confianza que esté actualmente asociado a un oyente.

Para eliminar un almacén de confianza mediante la consola

  1. Abre la EC2 consola de Amazon en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación, selecciona Trust Stores.

  3. Seleccione el almacén de confianza para ver su página de detalles.

  4. Selecciona Acciones y, a continuación, Eliminar el almacén de confianza.

  5. Confirme la eliminación escribiendoconfirm.

  6. Selecciona Eliminar