Configuration mutuelle TLS sur un Application Load Balancer - Elastic Load Balancing
Créez un trust storeAssocier un magasin de confianceAfficher les détails de Trust StoreModifier un trust storeSupprimer un trust store

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration mutuelle TLS sur un Application Load Balancer

Cette section inclut les procédures de configuration du mode de TLS vérification mutuelle pour l'authentification sur les équilibreurs de charge d'application.

Pour utiliser le mode TLS de transmission mutuelle, il vous suffit de configurer l'écouteur pour qu'il accepte les certificats des clients. Lorsque vous utilisez le transfert mutuelTLS, l'Application Load Balancer envoie l'ensemble de la chaîne de certificats client à la cible à l'HTTPaide d'en-têtes, ce qui vous permet d'implémenter la logique d'authentification et d'autorisation correspondante dans votre application. Pour plus d'informations, consultez Créer un HTTPS écouteur pour votre Application Load Balancer.

Lorsque vous utilisez le mode de vérification mutuelleTLS, l'Application Load Balancer effectue l'authentification des certificats clients X.509 pour les clients lorsqu'un équilibreur de charge négocie des connexions. TLS

Pour utiliser le mode de TLS vérification mutuelle, effectuez les opérations suivantes :

  • Créez une nouvelle ressource Trust Store.

  • Téléchargez votre bundle d'autorités de certification (CA) et, éventuellement, vos listes de révocation.

  • Attachez le trust store à l'écouteur configuré pour vérifier les certificats clients.

Suivez les procédures décrites dans cette section pour configurer le mode de TLS vérification mutuelle sur votre Application Load Balancer dans le. AWS Management Console Pour configurer la TLS mutualisation en utilisant API des opérations plutôt que la console, consultez le Guide de APIréférence d'Application Load Balancer.

Créez un trust store

Vous pouvez créer un trust store de trois manières : lorsque vous créez un Application Load Balancer, lorsque vous créez un écouteur sécurisé et en utilisant la console Trust Store. Lorsque vous ajoutez un trust store lorsque vous créez un équilibreur de charge ou un écouteur, le trust store est automatiquement associé au nouvel écouteur. Lorsque vous créez un trust store à l'aide de la console Trust Store, vous devez l'associer vous-même à un écouteur.

Cette section décrit la création d'un trust store à l'aide de la console Trust Store, mais les étapes utilisées lors de la création d'un Application Load Balancer ou d'un écouteur sont les mêmes. Pour plus d'informations, voir Configurer un équilibreur de charge et un écouteur et Créer un HTTPS écouteur.

Prérequis :

  • Pour créer un trust store, vous devez disposer d'un bundle de certificats auprès de votre autorité de certification (CA).

Pour créer un trust store à l'aide de la console

  1. Ouvrez la EC2 console Amazon à l'adresse https://console.aws.amazon.com/ec2/.

  2. Dans le volet de navigation, choisissez Trust Stores.

  3. Sélectionnez Créer un magasin de confiance.

  4. Configuration du Trust Store

    1. Dans le champ Trust store name, saisissez le nom de votre trust store.

    2. Pour le bundle d'autorités de certification, entrez le chemin Amazon S3 vers le bundle de certificats ca que vous souhaitez que votre magasin de confiance utilise.

      Facultatif : utilisez la version de l'objet pour sélectionner une version précédente du bundle de certificats ca. Dans le cas contraire, c'est la version actuelle qui est utilisée.

  5. Pour les révocations, vous pouvez éventuellement ajouter une liste de révocation de certificats à votre trust store.

    1. Sous Liste de révocation de certificats, entrez le chemin Amazon S3 vers la liste de révocation de certificats que vous souhaitez que votre magasin de confiance utilise.

      Facultatif : utilisez la version de l'objet pour sélectionner une version précédente de la liste de révocation des certificats. Dans le cas contraire, c'est la version actuelle qui est utilisée.

  6. Pour les tags Trust Store, vous pouvez éventuellement saisir jusqu'à 50 tags à appliquer à votre Trust Store.

  7. Sélectionnez Créer un magasin de confiance.

Associer un magasin de confiance

Après avoir créé un trust store, vous devez l'associer à un écouteur avant que votre Application Load Balancer puisse commencer à utiliser le trust store. Vous ne pouvez avoir qu'un seul magasin de confiance associé à chacun de vos écouteurs sécurisés, mais un seul magasin de confiance peut être associé à plusieurs écouteurs.

Cette section traite de l'association d'un trust store à un écouteur existant. Vous pouvez également associer un trust store lors de la création d'un Application Load Balancer ou d'un écouteur. Pour plus d'informations, voir Configurer un équilibreur de charge et un écouteur et Créer un HTTPS écouteur.

Pour associer un trust store à l'aide de la console

  1. Ouvrez la EC2 console Amazon à l'adresse https://console.aws.amazon.com/ec2/.

  2. Dans le volet de navigation, choisissez Load Balancers (Équilibreurs de charge).

  3. Sélectionnez l'équilibreur de charge pour afficher sa page de détails.

  4. Dans l'onglet Écouteurs et règles, cliquez sur le lien dans la colonne Protocol:Port pour ouvrir la page de détails de l'écouteur sécurisé.

  5. Dans l'onglet Sécurité, choisissez Modifier les paramètres de l'écouteur sécurisé.

  6. (Facultatif) Si le TLS mode mutuel n'est pas activé, sélectionnez Authentification mutuelle (mTLS) sous Gestion des certificats clients, puis sélectionnez Vérifier avec Trust Store.

  7. Sous Trust store, sélectionnez le trust store que vous avez créé.

  8. Sélectionnez Enregistrer les modifications.

Afficher les détails de Trust Store

Packs de certificats CA

Le bundle de certificats CA est un composant obligatoire du trust store. Il s'agit d'un ensemble de certificats racine et intermédiaires fiables qui ont été validés par une autorité de certification. Ces certificats validés garantissent que le client peut être sûr que le certificat présenté appartient à l'équilibreur de charge.

Vous pouvez consulter le contenu du bundle de certificats CA actuel dans votre trust store à tout moment.

Afficher un ensemble de certificats CA

Pour consulter un ensemble de certificats CA à l'aide de la console

  1. Ouvrez la EC2 console Amazon à l'adresse https://console.aws.amazon.com/ec2/.

  2. Dans le volet de navigation, choisissez Trust Stores.

  3. Sélectionnez le trust store pour afficher la page de détails.

  4. Choisissez Actions, puis Get CA bundle.

  5. Choisissez Partager le lien ou Télécharger.

Listes de révocation de certificats

Vous pouvez éventuellement créer une liste de révocation de certificats pour un trust store. Les listes de révocation sont publiées par les autorités de certification et contiennent les données relatives aux certificats révoqués. Les équilibreurs de charge d'application ne prennent en charge que les listes de révocation de certificats au format suivantPEM.

Lorsqu'une liste de révocation de certificats est ajoutée à un trust store, un ID de révocation lui est attribué. Les révocations IDs augmentent pour chaque liste de révocation ajoutée au trust store, et elles ne peuvent pas être modifiées. Si une liste de révocation de certificats est supprimée d'un trust store, son identifiant de révocation est également supprimé et n'est pas réutilisé pendant toute la durée de vie du trust store.

Note

Les équilibreurs de charge d'application ne peuvent pas révoquer les certificats dont le numéro de série est négatif dans une liste de révocation de certificats.

Afficher une liste de révocation de certificats

Pour consulter une liste de révocation à l'aide de la console

  1. Ouvrez la EC2 console Amazon à l'adresse https://console.aws.amazon.com/ec2/.

  2. Dans le volet de navigation, choisissez Trust Stores.

  3. Sélectionnez le trust store pour afficher la page de détails.

  4. Dans l'onglet Listes de révocation de certificats, sélectionnez Actions, puis Obtenir la liste de révocation.

  5. Choisissez Partager le lien ou Télécharger.

Modifier un trust store

Un magasin de confiance ne peut contenir qu'un seul ensemble de certificats CA à la fois, mais vous pouvez le remplacer à tout moment une fois le magasin de confiance créé.

Remplacer un bundle de certificats CA

Pour remplacer un ensemble de certificats CA à l'aide de la console

  1. Ouvrez la EC2 console Amazon à l'adresse https://console.aws.amazon.com/ec2/.

  2. Dans le volet de navigation, choisissez Trust Stores.

  3. Sélectionnez le trust store pour afficher la page de détails.

  4. Choisissez Actions, puis Remplacer le bundle CA.

  5. Sur la page Remplacer le bundle CA, sous le bundle d'autorité de certification, entrez l'emplacement Amazon S3 du bundle CA souhaité.

  6. (Facultatif) Utilisez la version de l'objet pour sélectionner une version précédente de la liste de révocation des certificats. Dans le cas contraire, c'est la version actuelle qui est utilisée.

  7. Sélectionnez Remplacer le bundle CA.

Ajouter une liste de révocation de certificats

Pour ajouter une liste de révocation à l'aide de la console

  1. Ouvrez la EC2 console Amazon à l'adresse https://console.aws.amazon.com/ec2/.

  2. Dans le volet de navigation, choisissez Trust Stores.

  3. Sélectionnez le trust store pour afficher sa page de détails.

  4. Dans l'onglet Listes de révocation de certificats, sélectionnez Actions, puis Ajouter une liste de révocation.

  5. Sur la page Ajouter une liste de révocation, sous Liste de révocation de certificats, entrez l'emplacement Amazon S3 de la liste de révocation de certificats souhaitée.

  6. (Facultatif) Utilisez la version de l'objet pour sélectionner une version précédente de la liste de révocation des certificats. Dans le cas contraire, c'est la version actuelle qui est utilisée.

  7. Sélectionnez Ajouter une liste de révocation

Supprimer une liste de révocation de certificats

Pour supprimer une liste de révocation à l'aide de la console

  1. Ouvrez la EC2 console Amazon à l'adresse https://console.aws.amazon.com/ec2/.

  2. Dans le volet de navigation, choisissez Trust Stores.

  3. Sélectionnez le trust store pour afficher la page de détails.

  4. Dans l'onglet Listes de révocation de certificats, sélectionnez Actions, puis Supprimer la liste de révocation.

  5. Confirmez la suppression en tapantconfirm.

  6. Sélectionnez Delete (Supprimer).

Supprimer un trust store

Lorsque vous n'avez plus besoin d'un trust store, vous pouvez le supprimer.

Remarque : Vous ne pouvez pas supprimer un trust store actuellement associé à un écouteur.

Pour supprimer un trust store à l'aide de la console

  1. Ouvrez la EC2 console Amazon à l'adresse https://console.aws.amazon.com/ec2/.

  2. Dans le volet de navigation, choisissez Trust Stores.

  3. Sélectionnez le trust store pour afficher sa page de détails.

  4. Choisissez Actions, puis Supprimer le trust store.

  5. Confirmez la suppression en tapantconfirm.

  6. Sélectionnez Supprimer