Sebelum Anda mulai HTTPheader Log koneksi

Otentikasi timbal balik dengan TLS di Application Load Balancer

Mutual TLS authentication adalah variasi dari transport layer security (TLS). Tradisional TLS membangun komunikasi yang aman antara server dan klien, di mana server perlu memberikan identitasnya kepada kliennya. Dengan timbal balikTLS, penyeimbang beban menegosiasikan otentikasi timbal balik antara klien dan server saat bernegosiasi. TLS Ketika Anda menggunakan timbal balik TLS dengan Application Load Balancer, Anda menyederhanakan manajemen otentikasi dan mengurangi beban pada aplikasi Anda.

Dengan menggunakan timbal balik TLS dengan Application Load Balancer, penyeimbang beban Anda dapat mengelola otentikasi klien untuk membantu memastikan bahwa hanya klien tepercaya yang berkomunikasi dengan aplikasi backend Anda. Saat Anda menggunakan fitur ini, Application Load Balancer mengautentikasi klien dengan sertifikat dari otoritas sertifikat pihak ketiga (CA) atau dengan menggunakan AWS Private Certificate Authority (PCA), secara opsional, dengan pemeriksaan pencabutan. Application Load Balancer meneruskan informasi sertifikat klien ke backend, yang dapat digunakan aplikasi Anda untuk otorisasi. Dengan menggunakan mutual TLS di Application Load Balancer, Anda bisa mendapatkan otentikasi terkelola bawaan, terukur, dan terkelola untuk entitas berbasis sertifikat, yang menggunakan pustaka yang sudah mapan.

Mutual TLS for Application Load Balancers menyediakan dua opsi berikut untuk memvalidasi sertifikat klien X.509v3 Anda:

Catatan: Sertifikat klien X.509v1 tidak didukung.

Mutual TLS passthrough: Ketika Anda menggunakan mode TLS passthrough timbal balik, Application Load Balancer mengirimkan seluruh rantai sertifikat klien ke target menggunakan header. HTTP Kemudian, dengan menggunakan rantai sertifikat klien, Anda dapat menerapkan otentikasi penyeimbang beban yang sesuai dan logika otorisasi target dalam aplikasi Anda.
TLSVerifikasi bersama: Saat Anda menggunakan mode TLS verifikasi timbal balik, Application Load Balancer melakukan otentikasi sertifikat klien X.509 untuk klien saat penyeimbang beban menegosiasikan koneksi. TLS

Untuk memulai dengan timbal balik TLS di Application Load Balancer menggunakan passthrough, Anda hanya perlu mengonfigurasi listener untuk menerima sertifikat apa pun dari klien. Untuk menggunakan timbal balik TLS dengan verifikasi, Anda harus melakukan hal berikut:

Buat sumber daya toko kepercayaan baru.
Unggah bundel otoritas sertifikat (CA) Anda dan, secara opsional, daftar pencabutan.
Lampirkan trust store ke listener yang dikonfigurasi untuk memverifikasi sertifikat klien.

Untuk step-by-step prosedur untuk mengonfigurasi mode TLS verifikasi timbal balik dengan Application Load Balancer Anda, lihat. Mengkonfigurasi timbal balik TLS pada Application Load Balancer

Sebelum Anda mulai mengonfigurasi timbal balik TLS pada Application Load Balancer

Sebelum Anda mulai mengonfigurasi timbal balik TLS pada Application Load Balancer Anda, perhatikan hal-hal berikut:

Kuota

Application Load Balancer mencakup batas-batas tertentu yang terkait dengan jumlah trust store, sertifikat CA, dan daftar pencabutan sertifikat yang digunakan dalam akun Anda. AWS

Untuk informasi selengkapnya, lihat Kuota untuk Penyeimbang Beban Aplikasi Anda.

Persyaratan untuk sertifikat

Application Load Balancers mendukung yang berikut ini untuk sertifikat yang digunakan dengan otentikasi timbal balikTLS:

Sertifikat yang didukung: X.509v3
Kunci publik yang didukung: RSA 2K - 8K atau ECDSA secp256r1, secp384r1, secp521r1
Algoritma tanda tangan yang didukung:SHA256, 384, 512 dengan/, 384, 512 dengan RSA SHA256 EC/SHA256, 384.512 hash dengan - dengan RSASSA PSS MGF1

Bundel sertifikat CA

Berikut ini berlaku untuk bundel otoritas sertifikat (CA):

Application Load Balancer mengunggah setiap bundel sertifikat otoritas sertifikat (CA) sebagai batch. Application Load Balancers tidak mendukung pengunggahan sertifikat individual. Jika Anda perlu menambahkan sertifikat baru, Anda harus mengunggah file bundel sertifikat.
Untuk mengganti bundel sertifikat CA, gunakan file ModifyTrustStoreAPI.

Pesanan sertifikat untuk passthrough

Bila Anda menggunakan TLS passthrough timbal balik, Application Load Balancer menyisipkan header untuk menyajikan rantai sertifikat klien ke target backend. Urutan presentasi dimulai dengan sertifikat daun dan diakhiri dengan sertifikat root.

Dimulainya kembali sesi

Dimulainya kembali sesi tidak didukung saat menggunakan mode TLS passthrough atau verifikasi bersama dengan Application Load Balancer.

HTTPheader

Application Load Balancer menggunakan X-Amzn-Mtls header untuk mengirim informasi sertifikat ketika menegosiasikan koneksi klien menggunakan mutual. TLS Untuk informasi selengkapnya dan contoh header, lihatHTTPheader dan timbal balik TLS.

Berkas sertifikat CA

File sertifikat CA harus memenuhi persyaratan berikut:

File sertifikat harus menggunakan format PEM (Privacy Enhanced Mail).
Isi sertifikat harus dilampirkan dalam -----BEGIN CERTIFICATE----- dan -----END CERTIFICATE----- batas-batas.
Komentar harus didahului oleh # karakter dan tidak boleh mengandung karakter apa pun-.
Tidak mungkin ada garis kosong.

Contoh sertifikat yang tidak diterima (tidak valid):


# comments

Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 01
    Signature Algorithm: ecdsa-with-SHA384
        Issuer: C=US, O=EXAMPLE, OU=EXAMPLE, CN=EXAMPLE
        Validity
            Not Before: Jan 11 23:57:57 2024 GMT
            Not After : Jan 10 00:57:57 2029 GMT
        Subject: C=US, O=EXAMPLE, OU=EXAMPLE, CN=EXAMPLE
        Subject Public Key Info:
            Public Key Algorithm: id-ecPublicKey
                Public-Key: (384 bit)
                pub: 
                    00:01:02:03:04:05:06:07:08
                ASN1 OID: secp384r1
                NIST CURVE: P-384
        X509v3 extensions:
            X509v3 Key Usage: critical
                Digital Signature, Key Encipherment, Certificate Sign, CRL Sign
            X509v3 Basic Constraints: critical
                CA:TRUE
            X509v3 Subject Key Identifier: 
                00:01:02:03:04:05:06:07:08
            X509v3 Subject Alternative Name: 
                URI:EXAMPLE.COM
    Signature Algorithm: ecdsa-with-SHA384
         00:01:02:03:04:05:06:07:08
-----BEGIN CERTIFICATE-----
Base64–encoded certificate
-----END CERTIFICATE-----

Contoh sertifikat yang diterima (valid):

Sertifikat tunggal (PEM—dikodekan):


# comments
-----BEGIN CERTIFICATE-----
Base64–encoded certificate
-----END CERTIFICATE-----

Beberapa sertifikat (PEM—dikodekan):


# comments
-----BEGIN CERTIFICATE-----
Base64–encoded certificate
-----END CERTIFICATE-----
# comments
-----BEGIN CERTIFICATE-----
Base64–encoded certificate
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Base64–encoded certificate
-----END CERTIFICATE-----

HTTPheader dan timbal balik TLS

Bagian ini menjelaskan HTTP header yang digunakan Application Load Balancer untuk mengirim informasi sertifikat saat menegosiasikan koneksi dengan klien menggunakan mutual. TLS X-Amzn-MtlsHeader spesifik yang digunakan Application Load Balancer bergantung pada mode TLS timbal balik yang telah Anda tentukan: mode passthrough atau mode verifikasi.

Untuk informasi tentang HTTP header lain yang didukung oleh Application Load Balancers, lihat. HTTPheader dan Application Load Balancers

HTTPheader untuk mode passthrough

Untuk saling TLS dalam mode passthrough, Application Load Balancers menggunakan header berikut.

Header ini berisi PEM format URL -encode dari seluruh rantai sertifikat klien yang disajikan dalam koneksi, dengan karakter yang +=/ aman.

Contoh isi header:


X-Amzn-Mtls-Clientcert: -----BEGIN%20CERTIFICATE-----%0AMIID<...reduced...>do0g%3D%3D%0A-----END%20CERTIFICATE-----%0A-----BEGIN%20CERTIFICATE-----%0AMIID1<...reduced...>3eZlyKA%3D%3D%0A-----END%20CERTIFICATE-----%0A

HTTPheader untuk modus verifikasi

Untuk saling TLS dalam mode verifikasi, Application Load Balancers menggunakan header berikut.

Header ini berisi representasi heksadesimal dari nomor seri sertifikat daun.

Contoh isi header:


X-Amzn-Mtls-Clientcert-Serial-Number: 03A5B1

Header ini berisi representasi RFC2253 string dari nama terhormat penerbit (DN).

Contoh isi header:


X-Amzn-Mtls-Clientcert-Issuer: CN=rootcamtls.com,OU=rootCA,O=mTLS,L=Seattle,ST=Washington,C=US

Header ini berisi representasi RFC2253 string dari nama terhormat subjek (DN).

Contoh isi header:


X-Amzn-Mtls-Clientcert-Subject: CN=client_.com,OU=client-3,O=mTLS,ST=Washington,C=US

Header ini berisi format ISO86 01 notAfter tanggal notBefore dan.

Contoh isi header:


X-Amzn-Mtls-Clientcert-Validity: NotBefore=2023-09-21T01:50:17Z;NotAfter=2024-09-20T01:50:17Z

Header ini berisi PEM format URL -encoded dari sertifikat daun, dengan karakter yang +=/ aman.

Contoh isi header:


X-Amzn-Mtls-Clientcert-Leaf: -----BEGIN%20CERTIFICATE-----%0AMIIG<...reduced...>NmrUlw%0A-----END%20CERTIFICATE-----%0A

Log koneksi untuk Application Load Balancers

Elastic Load Balancing menyediakan log koneksi yang menangkap atribut tentang permintaan yang dikirim ke Application Load Balancers Anda. Log koneksi berisi informasi seperti alamat IP klien dan port, informasi sertifikat klien, hasil koneksi, dan TLS cipher yang digunakan. Log koneksi ini kemudian dapat digunakan untuk meninjau pola permintaan, dan tren lainnya.

Untuk mempelajari lebih lanjut tentang log koneksi, lihat Log koneksi untuk Application Load Balancer

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Perbarui HTTPS pendengar

Konfigurasikan timbal balik TLS