Configurazione reciproca TLS su un Application Load Balancer - Sistema di bilanciamento del carico elastico
Crea un trust storeAssocia un trust storeVisualizza i dettagli del Trust StoreModifica un trust storeEliminare un trust store

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione reciproca TLS su un Application Load Balancer

Questa sezione include le procedure per configurare la modalità di TLS verifica reciproca per l'autenticazione sugli Application Load Balancer.

Per utilizzare la modalità mutua TLS passthrough, è sufficiente configurare il listener in modo che accetti qualsiasi certificato dai client. Quando si utilizza il TLS passthrough reciproco, l'Application Load Balancer invia l'intera catena di certificati client alla destinazione HTTP utilizzando le intestazioni, che consentono di implementare la logica di autenticazione e autorizzazione corrispondente nell'applicazione. Per ulteriori informazioni, consulta Creare un HTTPS listener per l'Application Load Balancer.

Quando si utilizza la modalità mutua TLS in modalità di verifica, Application Load Balancer esegue l'autenticazione del certificato client X.509 per i client quando un sistema di bilanciamento del carico negozia le connessioni. TLS

Per utilizzare la modalità di TLS verifica reciproca, effettuate le seguenti operazioni:

  • Crea una nuova risorsa Trust Store.

  • Carica il tuo pacchetto di autorità di certificazione (CA) e, facoltativamente, gli elenchi di revoca.

  • Collega il trust store al listener configurato per verificare i certificati client.

Segui le procedure in questa sezione per configurare la modalità di TLS verifica reciproca sull'Application Load Balancer in. AWS Management Console Per configurare la modalità mutua TLS utilizzando API le operazioni anziché la console, consulta l'Application Load Balancer API Reference Guide.

Crea un trust store

Esistono tre modi per creare un trust store: quando si crea un Application Load Balancer, quando si crea un listener sicuro e utilizzando la console Trust Store. Quando aggiungi un trust store quando crei un load balancer o un listener, il trust store viene automaticamente associato al nuovo listener. Quando crei un trust store utilizzando la console Trust Store, devi associarlo tu stesso a un listener.

Questa sezione descrive la creazione di un trust store utilizzando la console Trust Store, ma i passaggi utilizzati durante la creazione di un Application Load Balancer o di un listener sono gli stessi. Per maggiori informazioni, consulta Configurare un load balancer e un listener e Creare un listener. HTTPS

Prerequisiti:

  • Per creare un trust store, devi disporre di un pacchetto di certificati rilasciato dalla tua Autorità di Certificazione (CA).

Per creare un trust store utilizzando la console

  1. Apri la EC2 console Amazon all'indirizzo https://console.aws.amazon.com/ec2/.

  2. Nel pannello di navigazione, scegli Trust Stores.

  3. Seleziona Crea trust store.

  4. Configurazione del Trust Store

    1. Per il nome del Trust Store, inserisci un nome per il tuo Trust Store.

    2. Per il pacchetto di autorità di certificazione, inserisci il percorso Amazon S3 verso il pacchetto di certificati ca che desideri venga utilizzato dal tuo trust store.

      Facoltativo: utilizza la versione dell'oggetto per selezionare una versione precedente del pacchetto di certificati ca. Altrimenti viene utilizzata la versione corrente.

  5. Per le revoche puoi facoltativamente aggiungere un elenco di revoche dei certificati al tuo trust store.

    1. In Elenco di revoca dei certificati, inserisci il percorso di Amazon S3 all'elenco di revoca dei certificati che desideri venga utilizzato dal tuo trust store.

      Facoltativo: utilizza la versione dell'oggetto per selezionare una versione precedente dell'elenco di revoca dei certificati. Altrimenti viene utilizzata la versione corrente.

  6. Per i tag Trust Store puoi facoltativamente inserire fino a 50 tag da applicare al tuo Trust Store.

  7. Seleziona Crea trust store.

Associa un trust store

Dopo aver creato un trust store, è necessario associarlo a un listener prima che l'Application Load Balancer possa iniziare a utilizzare il trust store. È possibile associare un solo trust store a ciascuno dei listener sicuri, ma un trust store può essere associato a più listener.

Questa sezione tratta l'associazione di un trust store a un listener esistente. In alternativa, è possibile associare un trust store durante la creazione di un Application Load Balancer o di un listener. Per maggiori informazioni, consulta Configurare un load balancer e un listener e Creare un listener. HTTPS

Per associare un trust store utilizzando la console

  1. Apri la EC2 console Amazon all'indirizzo https://console.aws.amazon.com/ec2/.

  2. Seleziona Sistemi di bilanciamento del carico nel riquadro di navigazione.

  3. Seleziona il sistema di bilanciamento del carico per visualizzarne la pagina dei dettagli.

  4. Nella scheda Listener and rules, scegli il link nella colonna Protocol:Port per aprire la pagina dei dettagli del listener sicuro.

  5. Nella scheda Sicurezza, scegli Modifica le impostazioni del listener sicuro.

  6. (Facoltativo) Se la mutua non TLS è abilitata, seleziona Autenticazione reciproca (mTLS) in Gestione dei certificati del client, quindi scegli Verifica con trust store.

  7. In Trust store, scegli l'archivio di fiducia che hai creato.

  8. Scegli Save changes (Salva modifiche).

Visualizza i dettagli del Trust Store

Pacchetti di certificati CA

Il pacchetto di certificati CA è un componente obbligatorio del trust store. È una raccolta di certificati root e intermedi affidabili che sono stati convalidati da un'autorità di certificazione. Questi certificati convalidati garantiscono che il client possa fidarsi che il certificato presentato sia di proprietà del sistema di bilanciamento del carico.

Puoi visualizzare il contenuto dell'attuale pacchetto di certificati CA nel tuo trust store in qualsiasi momento.

Visualizza un pacchetto di certificati CA

Per visualizzare un pacchetto di certificati CA utilizzando la console

  1. Apri la EC2 console Amazon all'indirizzo https://console.aws.amazon.com/ec2/.

  2. Nel pannello di navigazione, scegli Trust Stores.

  3. Seleziona il Trust Store per visualizzare la pagina dei dettagli.

  4. Scegli Azioni, quindi Get CA bundle.

  5. Scegli Condividi link o Scarica.

Elenchi di revoca dei certificati

Facoltativamente, è possibile creare un elenco di revoca dei certificati per un archivio attendibile. Gli elenchi di revoca vengono rilasciati dalle autorità di certificazione e contengono dati relativi ai certificati che sono stati revocati. Gli Application Load Balancer supportano solo gli elenchi di revoca dei certificati in questo formato. PEM

Quando un elenco di revoca dei certificati viene aggiunto a un archivio attendibile, gli viene assegnato un ID di revoca. Le revoche IDs aumentano per ogni elenco di revoche aggiunto al trust store e non possono essere modificate. Se un elenco di revoca dei certificati viene eliminato da un archivio attendibile, viene eliminato anche il relativo ID di revoca e non viene riutilizzato per tutta la durata dell'archivio attendibile.

Nota

Application Load Balancers non può revocare certificati con un numero di serie negativo, all'interno di un elenco di revoche di certificati.

Visualizza un elenco di revoca dei certificati

Per visualizzare un elenco di revoche utilizzando la console

  1. Apri la EC2 console Amazon all'indirizzo https://console.aws.amazon.com/ec2/.

  2. Nel pannello di navigazione, scegli Trust Stores.

  3. Seleziona il Trust Store per visualizzare la pagina dei dettagli.

  4. Nella scheda Elenchi di revoca dei certificati, seleziona Azioni, quindi Ottieni elenco di revoca.

  5. Scegli Condividi link o Scarica.

Modifica un trust store

Un trust store può contenere solo un pacchetto di certificati CA alla volta, ma è possibile sostituire il bundle di certificati CA in qualsiasi momento dopo la creazione del trust store.

Sostituisci un pacchetto di certificati CA

Per sostituire un pacchetto di certificati CA utilizzando la console

  1. Apri la EC2 console Amazon all'indirizzo https://console.aws.amazon.com/ec2/.

  2. Nel pannello di navigazione, scegli Trust Stores.

  3. Seleziona il Trust Store per visualizzare la pagina dei dettagli.

  4. Scegli Azioni, quindi Sostituisci il pacchetto CA.

  5. Nella pagina Replace CA bundle, in Certificate Authority bundle inserisci la posizione Amazon S3 del pacchetto CA desiderato.

  6. (Facoltativo) Utilizza la versione dell'oggetto per selezionare una versione precedente dell'elenco di revoca dei certificati. Altrimenti viene utilizzata la versione corrente.

  7. Seleziona Replace CA bundle.

Aggiungi un elenco di revoca dei certificati

Per aggiungere un elenco di revoche utilizzando la console

  1. Apri la EC2 console Amazon all'indirizzo https://console.aws.amazon.com/ec2/.

  2. Nel pannello di navigazione, scegli Trust Stores.

  3. Seleziona il Trust Store per visualizzarne la pagina dei dettagli.

  4. Nella scheda Elenchi di revoca dei certificati, seleziona Azioni, quindi Aggiungi elenco di revoca.

  5. Nella pagina Aggiungi elenco di revoche, in Elenco di revoca dei certificati, inserisci la posizione Amazon S3 dell'elenco di revoca dei certificati desiderato.

  6. (Facoltativo) Utilizza la versione dell'oggetto per selezionare una versione precedente dell'elenco di revoca dei certificati. Altrimenti viene utilizzata la versione corrente.

  7. Seleziona Aggiungi elenco di revoca

Eliminare un elenco di revoca dei certificati

Per eliminare un elenco di revoche utilizzando la console

  1. Apri la EC2 console Amazon all'indirizzo https://console.aws.amazon.com/ec2/.

  2. Nel pannello di navigazione, scegli Trust Stores.

  3. Seleziona il Trust Store per visualizzare la pagina dei dettagli.

  4. Nella scheda Elenchi di revoca dei certificati, seleziona Azioni, quindi Elimina elenco di revoca.

  5. Conferma l'eliminazione digitando. confirm

  6. Seleziona Elimina.

Eliminare un trust store

Quando non è più possibile utilizzare un archivio attendibile, è possibile eliminarlo.

Nota: non è possibile eliminare un trust store attualmente associato a un listener.

Per eliminare un trust store utilizzando la console

  1. Apri la EC2 console Amazon all'indirizzo https://console.aws.amazon.com/ec2/.

  2. Nel pannello di navigazione, scegli Trust Stores.

  3. Seleziona il Trust Store per visualizzarne la pagina dei dettagli.

  4. Scegli Azioni, quindi Elimina trust store.

  5. Conferma l'eliminazione confirm digitando.

  6. Seleziona Elimina