Configuração de um TLS mútuo em um Application Load Balancer - Elastic Load Balancing
Criar um armazenamento confiávelAssociar um armazenamento confiávelExibir detalhes do armazenamento confiávelModificar um armazenamento confiávelExcluir um armazenamento confiável

Configuração de um TLS mútuo em um Application Load Balancer

Esta seção inclui os procedimentos de como configurar o modo de verificação de TLS mútuo para autenticação em Application Load Balancers.

Para usar o modo de passagem de TLS mútuo, você só precisa configurar o receptor para aceitar qualquer certificado de clientes. Ao usar a passagem de TLS mútuo, o Application Load Balancer envia toda a cadeia de certificados do cliente para o destino usando cabeçalhos HTTP, o que permite implementar a lógica correspondente de autenticação e autorização na aplicação. Para obter mais informações, consulte Criar um receptor HTTPS para seu Application Load Balancer.

Ao usar o TLS mútuo no modo de verificação, o Application Load Balancer executa a autenticação de certificado de cliente X.509 para clientes quando um balanceador de carga negocia conexões TLS.

Para utilizar o modo de verificação de TLS mútuo, faça o seguinte:

  • Crie um recurso de armazenamento confiável.

  • Faça upload do seu pacote de autoridade de certificação (CA) e, opcionalmente, das listas de revogação.

  • Anexe o armazenamento confiável ao receptor que está configurado para verificar os certificados do cliente.

Siga os procedimentos desta seção para configurar o modo de verificação de TLS mútuo no Application Load Balancer no AWS Management Console. Para configurar o TLS mútuo usando operações de API em vez do console, consulte o Guia de referência da API do Application Load Balancer.

Criar um armazenamento confiável

Há três maneiras de criar um armazenamento confiável: ao criar um Application Load Balancer, ao criar um receptor seguro e ao usar o console do armazenamento confiável. Quando você adiciona um armazenamento confiável ao criar um balanceador de carga ou receptor, o armazenamento confiável é automaticamente associado ao novo receptor. Ao criar um armazenamento confiável usando o console, é você quem deve associá-lo a um receptor.

Esta seção aborda a criação de um armazenamento confiável usando o console, mas as etapas usadas ao criar um Application Load Balancer ou receptor são as mesmas. Para obter mais informações, consulte Configure a load balancer and a listener e Create an HTTPS listener.

Pré-requisitos:

  • Para criar um armazenamento confiável, você deve ter um pacote de certificados da sua autoridade de certificação (CA).

Para criar um armazenamento confiável usando o console

  1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.

  2. No painel de navegação, escolha Armazenamentos confiáveis.

  3. Selecione Criar armazenamento confiável.

  4. Configuração do armazenamento confiável

    1. Em Nome do armazenamento confiável, insira um nome para o armazenamento confiável.

    2. Em Pacote da autoridade de certificação, insira o caminho do Amazon S3 para o pacote de certificados da CA que o armazenamento confiável deve usar.

      Opcional: use a Versão do objeto para selecionar uma versão anterior do pacote de certificados da CA. Caso contrário, a versão atual será usada.

  5. Em Revogações, você pode, opcionalmente, adicionar uma lista de revogação de certificados ao armazenamento confiável.

    1. Em Lista de revogação de certificados, insira o caminho do Amazon S3 para a lista de revogação de certificados que deve ser usado pelo armazenamento confiável.

      Opcional: use a Versão do objeto para selecionar uma versão anterior da lista de revogação de certificados. Caso contrário, a versão atual será usada.

  6. Em Tags do armazenamento confiável, você pode, opcionalmente, inserir até 50 tags para aplicar ao armazenamento confiável.

  7. Selecione Criar armazenamento confiável.

Associar um armazenamento confiável

Depois de criar um armazenamento confiável, você deve associá-lo a um receptor antes que o Application Load Balancer possa começar a usá-lo. Você pode ter somente um armazenamento confiável associado a cada um dos receptores seguros, mas um armazenamento confiável pode ser associado a vários receptores.

Esta seção aborda a associação de um armazenamento confiável a um receptor existente. Como alternativa, você pode associar um armazenamento confiável ao criar um Application Load Balancer ou um receptor. Para obter mais informações, consulte Configure a load balancer and a listener e Create an HTTPS listener.

Para associar um armazenamento confiável usando o console

  1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.

  2. No painel de navegação, selecione Balanceador de carga.

  3. Selecione o balanceador de carga para exibir a página de detalhes.

  4. Na guia Receptores e regras, escolha o link na coluna Protocol:Port para abrir a página de detalhes do receptor seguro.

  5. Na guia Segurança, escolha Editar configurações de receptor seguro.

  6. (Opcional) Se o TLS mútuo não estiver habilitado, selecione Autenticação mútua (mTLS) em Tratamento de certificados do cliente e escolha Verificar com armazenamento confiável.

  7. Em Armazenamento confiável, escolha o armazenamento confiável que você criou.

  8. Escolha Salvar alterações.

Exibir detalhes do armazenamento confiável

Pacotes de certificados de CA

O pacote de certificados da CA é um componente obrigatório do armazenamento confiável. É uma coleção de certificados raiz e intermediários confiáveis que foram validados por uma autoridade de certificação. Esses certificados validados garantem que o cliente possa confiar que o certificado apresentado pertence ao balanceador de carga.

Você pode exibir o conteúdo do pacote de certificados de CA atual no armazenamento confiável a qualquer momento.

Exibir um pacote de certificados de CA

Para exibir um pacote de certificado de CA usando o console

  1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.

  2. No painel de navegação, escolha Armazenamentos confiáveis.

  3. Selecione o armazenamento confiável para exibir a página de detalhes.

  4. Escolha Ações e Obter pacote de CA.

  5. Escolha Compartilhar link ou Download.

Listas de revogação de certificados

Opcionalmente, você pode criar uma lista de revogação de certificados para um armazenamento confiável. As listas de revogação são divulgadas pelas autoridades de certificação e contêm dados de certificados que foram revogados. Os Application Load Balancers só oferecem suporte a listas de revogação de certificados no formato PEM.

Quando uma lista de revogação de certificados é adicionada a um armazenamento confiável, ela recebe um ID de revogação. Os IDs de revogação aumentam a cada lista de revogação adicionada ao armazenamento confiável e não podem ser alterados. Se uma lista de revogação de certificados for excluída de um armazenamento confiável, o ID de revogação também será excluído e não será reutilizado durante toda a vida útil do armazenamento confiável.

nota

Os Application Load Balancers não podem revogar certificados que tenham um número de série negativo em uma lista de revogação de certificados.

Exibir uma lista de revogação de certificados

Para exibir uma lista de revogação usando o console

  1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.

  2. No painel de navegação, escolha Armazenamentos confiáveis.

  3. Selecione o armazenamento confiável para exibir a página de detalhes.

  4. Na guia Listas de revogação de certificados, selecione Ações e Obter lista de revogação.

  5. Escolha Compartilhar link ou Download.

Modificar um armazenamento confiável

Um armazenamento confiável pode conter somente um pacote de certificados de CA por vez, mas você pode substituir o pacote de certificados de CA a qualquer momento após a criação do armazenamento confiável.

Substituir um pacote de certificados de CA

Para substituir um pacote de certificados de CA usando o console

  1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.

  2. No painel de navegação, escolha Armazenamentos confiáveis.

  3. Selecione o armazenamento confiável para exibir a página de detalhes.

  4. Escolha Ações e Substituir pacote de CA.

  5. Na página Substituir pacote de CA, em Pacote de autoridade de certificação, insira a localização do Amazon S3 do pacote de CA desejado.

  6. (Opcional) Use a Versão do objeto para selecionar uma versão anterior da lista de revogação de certificados. Caso contrário, a versão atual será usada.

  7. Selecione Substituir pacote de CA.

Adicionar uma lista de revogação de certificados

Para adicionar uma lista de revogações usando o console

  1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.

  2. No painel de navegação, escolha Armazenamentos confiáveis.

  3. Selecione o armazenamento confiável para exibir a página de detalhes.

  4. Na guia Listas de revogação de certificados, selecione Ações e Adicionar lista de revogação.

  5. Na página Adicionar lista de revogação, em Lista de revogação de certificados, insira a localização do Amazon S3 da lista de revogação de certificados desejada

  6. (Opcional) Use a Versão do objeto para selecionar uma versão anterior da lista de revogação de certificados. Caso contrário, a versão atual será usada.

  7. Selecione Adicionar lista de revogação

Excluir uma lista de revogação de certificados

Para excluir uma lista de revogação usando o console

  1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.

  2. No painel de navegação, escolha Armazenamentos confiáveis.

  3. Selecione o armazenamento confiável para exibir a página de detalhes.

  4. Na guia Listas de revogação de certificados, selecione Ações e Excluir lista de revogação.

  5. Confirme a exclusão digitando confirm.

  6. Selecione Excluir.

Excluir um armazenamento confiável

Quando não precisar mais usar um armazenamento confiável, poderá excluí-lo.

Observação: você não pode excluir um armazenamento confiável atualmente associado a um receptor.

Para excluir um armazenamento confiável usando o console

  1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.

  2. No painel de navegação, escolha Armazenamentos confiáveis.

  3. Selecione o armazenamento confiável para exibir a página de detalhes.

  4. Escolha Ações e, em seguida, Excluir armazenamento confiável.

  5. Confirme a exclusão digitando confirm.

  6. Selecione Excluir