Configuração mútua TLS em um Application Load Balancer - Elastic Load Balancing
Crie uma loja confiávelAssociar uma loja fiduciáriaExibir detalhes da Trust StoreModificar um repositório confiávelExcluir um repositório fiduciário

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configuração mútua TLS em um Application Load Balancer

Esta seção inclui os procedimentos para configurar o modo de TLS verificação mútua para autenticação em Application Load Balancers.

Para usar o modo de TLS passagem mútua, você só precisa configurar o ouvinte para aceitar quaisquer certificados dos clientes. Quando você usa a TLS passagem mútua, o Application Load Balancer envia toda a cadeia de certificados do cliente para o destino HTTP usando cabeçalhos, o que permite implementar a lógica correspondente de autenticação e autorização em seu aplicativo. Para obter mais informações, consulte Criar um HTTPS ouvinte para seu Application Load Balancer.

Quando você usa o mútuo TLS no modo de verificação, o Application Load Balancer executa a autenticação de certificado de cliente X.509 para clientes quando um balanceador de carga negocia conexões. TLS

Para utilizar o modo de TLS verificação mútua, faça o seguinte:

  • Crie um novo recurso de armazenamento fiduciário.

  • Faça upload do seu pacote de autoridade de certificação (CA) e, opcionalmente, das listas de revogação.

  • Anexe o armazenamento confiável ao ouvinte que está configurado para verificar os certificados do cliente.

Siga os procedimentos desta seção para configurar o modo de TLS verificação mútua em seu Application Load Balancer no. AWS Management Console Para configurar o mútuo TLS usando API operações em vez do console, consulte o Application Load Balancer API Reference Guide.

Crie uma loja confiável

Há três maneiras de criar um armazenamento confiável: ao criar um Application Load Balancer, ao criar um ouvinte seguro e ao usar o console do Trust Store. Quando você adiciona um armazenamento confiável ao criar um balanceador de carga ou ouvinte, o armazenamento confiável é automaticamente associado ao novo ouvinte. Ao criar um repositório confiável usando o console do Trust Store, você mesmo deve associá-lo a um ouvinte.

Esta seção aborda a criação de um armazenamento confiável usando o console do Trust Store, mas as etapas usadas ao criar um Application Load Balancer ou ouvinte são as mesmas. Para obter mais informações, consulte Configurar um balanceador de carga e um ouvinte e Criar um HTTPS ouvinte.

Pré-requisitos:

  • Para criar um repositório confiável, você deve ter um pacote de certificados da sua Autoridade de Certificação (CA).

Para criar um repositório confiável usando o console

  1. Abra o EC2 console da Amazon em https://console.aws.amazon.com/ec2/.

  2. No painel de navegação, escolha Trust Stores.

  3. Selecione Criar repositório fiduciário.

  4. Configuração do Trust Store

    1. Em Nome da loja confiável, insira um nome para sua loja confiável.

    2. Para o pacote de autoridade de certificação, insira o caminho do Amazon S3 para o pacote de certificados CA que você deseja que seu repositório confiável use.

      Opcional: Use a versão do objeto para selecionar uma versão anterior do pacote de certificados ca. Caso contrário, a versão atual será usada.

  5. Para revogações, você pode, opcionalmente, adicionar uma lista de revogação de certificados ao seu armazenamento confiável.

    1. Em Lista de revogação de certificados, insira o caminho do Amazon S3 para a lista de revogação de certificados que você deseja que seu repositório confiável use.

      Opcional: Use a versão do objeto para selecionar uma versão anterior da lista de revogação de certificados. Caso contrário, a versão atual será usada.

  6. Para as tags da Trust Store, você pode, opcionalmente, inserir até 50 tags para aplicar à sua Trust Store.

  7. Selecione Criar repositório fiduciário.

Associar uma loja fiduciária

Depois de criar um armazenamento confiável, você deve associá-lo a um ouvinte antes que seu Application Load Balancer possa começar a usar o armazenamento confiável. Você pode ter somente um repositório confiável associado a cada um dos seus ouvintes seguros, mas um armazenamento confiável pode ser associado a vários ouvintes.

Esta seção aborda a associação de um repositório confiável a um ouvinte existente. Como alternativa, você pode associar um armazenamento confiável ao criar um Application Load Balancer ou um listener. Para obter mais informações, consulte Configurar um balanceador de carga e um ouvinte e Criar um HTTPS ouvinte.

Para associar um repositório confiável usando o console

  1. Abra o EC2 console da Amazon em https://console.aws.amazon.com/ec2/.

  2. No painel de navegação, selecione Balanceador de carga.

  3. Selecione o balanceador de carga para ver sua página de detalhes.

  4. Na guia Ouvintes e regras, escolha o link na coluna Protocol:Porta para abrir a página de detalhes do ouvinte seguro.

  5. Na guia Segurança, escolha Editar configurações de ouvinte seguro.

  6. (Opcional) Se a opção mútua não TLS estiver ativada, selecione Autenticação mútua (mTLS) em Tratamento de certificados do cliente e escolha Verificar com armazenamento confiável.

  7. Em Armazenamento confiável, escolha o repositório confiável que você criou.

  8. Escolha Salvar alterações.

Exibir detalhes da Trust Store

Pacotes de certificados CA

O pacote de certificados CA é um componente obrigatório do armazenamento confiável. É uma coleção de certificados raiz e intermediários confiáveis que foram validados por uma autoridade de certificação. Esses certificados validados garantem que o cliente possa confiar que o certificado apresentado é de propriedade do balanceador de carga.

Você pode visualizar o conteúdo do pacote de certificados CA atual em seu repositório confiável a qualquer momento.

Exibir um pacote de certificados CA

Para visualizar um pacote de certificados CA usando o console

  1. Abra o EC2 console da Amazon em https://console.aws.amazon.com/ec2/.

  2. No painel de navegação, escolha Trust Stores.

  3. Selecione o repositório fiduciário para ver a página de detalhes.

  4. Escolha Ações e, em seguida, Obter pacote CA.

  5. Escolha Compartilhar link ou Baixar.

Listas de revogação de certificados

Opcionalmente, você pode criar uma lista de revogação de certificados para um repositório confiável. As listas de revogação são divulgadas pelas autoridades de certificação e contêm dados de certificados que foram revogados. Os Application Load Balancers só oferecem suporte a listas de revogação de certificados no formato. PEM

Quando uma lista de revogação de certificados é adicionada a um repositório confiável, ela recebe uma ID de revogação. O IDs aumento de revogação para cada lista de revogação adicionada ao armazenamento confiável e elas não podem ser alteradas. Se uma lista de revogação de certificados for excluída de um repositório confiável, sua ID de revogação também será excluída e não será reutilizada durante toda a vida útil do armazenamento confiável.

nota

Os Application Load Balancers não podem revogar certificados que tenham um número de série negativo em uma lista de revogação de certificados.

Exibir uma lista de revogação de certificados

Para ver uma lista de revogação usando o console

  1. Abra o EC2 console da Amazon em https://console.aws.amazon.com/ec2/.

  2. No painel de navegação, escolha Trust Stores.

  3. Selecione o repositório fiduciário para ver a página de detalhes.

  4. Na guia Listas de revogação de certificados, selecione Ações e, em seguida, Obter lista de revogação.

  5. Escolha Compartilhar link ou Baixar.

Modificar um repositório confiável

Um repositório confiável só pode conter um pacote de certificados de CA por vez, mas você pode substituir o pacote de certificados de CA a qualquer momento após a criação do repositório confiável.

Substituir um pacote de certificados CA

Para substituir um pacote de certificados CA usando o console

  1. Abra o EC2 console da Amazon em https://console.aws.amazon.com/ec2/.

  2. No painel de navegação, escolha Trust Stores.

  3. Selecione o repositório fiduciário para ver a página de detalhes.

  4. Escolha Ações e, em seguida, Substituir pacote CA.

  5. Na página Substituir pacote de CA, em Pacote de autoridade de certificação, insira a localização do Amazon S3 do pacote de CA desejado.

  6. (Opcional) Use a versão do objeto para selecionar uma versão anterior da lista de revogação de certificados. Caso contrário, a versão atual será usada.

  7. Selecione Substituir pacote CA.

Adicionar uma lista de revogação de certificados

Para adicionar uma lista de revogação usando o console

  1. Abra o EC2 console da Amazon em https://console.aws.amazon.com/ec2/.

  2. No painel de navegação, escolha Trust Stores.

  3. Selecione a loja confiável para ver sua página de detalhes.

  4. Na guia Listas de revogação de certificados, selecione Ações e, em seguida, Adicionar lista de revogação.

  5. Na página Adicionar lista de revogação, em Lista de revogação de certificados, insira a localização do Amazon S3 da lista de revogação de certificados desejada.

  6. (Opcional) Use a versão do objeto para selecionar uma versão anterior da lista de revogação de certificados. Caso contrário, a versão atual será usada.

  7. Selecione Adicionar lista de revogação

Excluir uma lista de revogação de certificados

Para excluir uma lista de revogação usando o console

  1. Abra o EC2 console da Amazon em https://console.aws.amazon.com/ec2/.

  2. No painel de navegação, escolha Trust Stores.

  3. Selecione o repositório fiduciário para ver a página de detalhes.

  4. Na guia Listas de revogação de certificados, selecione Ações e, em seguida, Excluir lista de revogação.

  5. Confirme a exclusão confirm digitando.

  6. Selecione Excluir.

Excluir um repositório fiduciário

Quando você não precisar mais usar um repositório confiável, poderá excluí-lo.

Nota: Você não pode excluir um repositório confiável atualmente associado a um ouvinte.

Para excluir um repositório confiável usando o console

  1. Abra o EC2 console da Amazon em https://console.aws.amazon.com/ec2/.

  2. No painel de navegação, escolha Trust Stores.

  3. Selecione a loja confiável para ver sua página de detalhes.

  4. Escolha Ações e, em seguida, Excluir armazenamento confiável.

  5. Confirme a exclusão confirm digitando.

  6. Selecione Excluir