Autenticação mútua com TLS o Application Load Balancer - Elastic Load Balancing
Antes de começarCabeçalhos HTTPAnuncie o nome do assunto da CALogs de conexão

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Autenticação mútua com TLS o Application Load Balancer

A TLS autenticação mútua é uma variação da segurança da camada de transporte (TLS). O tradicional TLS estabelece comunicações seguras entre um servidor e o cliente, onde o servidor precisa fornecer sua identidade aos clientes. Com o MutualTLS, um balanceador de carga negocia a autenticação mútua entre o cliente e o servidor durante a negociação. TLS Ao usar o Mutual TLS com o Application Load Balancer, você simplifica o gerenciamento da autenticação e reduz a carga em seus aplicativos.

Ao usar o Mutual TLS com o Application Load Balancer, seu balanceador de carga pode gerenciar a autenticação do cliente para ajudar a garantir que somente clientes confiáveis se comuniquem com seus aplicativos de back-end. Quando você usa esse recurso, o Application Load Balancer autentica clientes com certificados de uma autoridade de certificação (CA) terceirizada ou usando o AWS Private Certificate Authority (PCA), opcionalmente, com verificações de revogação. O Application Load Balancer transmite informações de certificado do cliente para o backend, que suas aplicações podem usar para autorização. Ao usar o Mutual TLS no Application Load Balancer, você pode obter autenticação integrada, escalável e gerenciada para entidades baseadas em certificados, que usam bibliotecas estabelecidas.

O Mutual TLS for Application Load Balancers fornece as duas opções a seguir para validar seus certificados de cliente X.509v3:

Observação: não há suporte para certificados de cliente X.509v1.

  • TLSPassagem mútua: quando você usa o modo de TLS passagem mútua, o Application Load Balancer envia toda a cadeia de certificados do cliente para o destino usando cabeçalhos. HTTP Em seguida, usando a cadeia de certificados do cliente, você pode implementar a autenticação do balanceador de carga correspondente e a lógica de autorização de destino na aplicação.

  • TLSVerificação mútua: quando você usa o modo de TLS verificação mútua, o Application Load Balancer executa a autenticação de certificado de cliente X.509 para clientes quando um balanceador de carga negocia conexões. TLS

Para começar a usar o mutual TLS no Application Load Balancer usando o passthrough, você só precisa configurar o ouvinte para aceitar quaisquer certificados dos clientes. Para usar o mútuo TLS com a verificação, você deve fazer o seguinte:

  • Crie um recurso de armazenamento confiável.

  • Faça upload do seu pacote de autoridade de certificação (CA) e, opcionalmente, das listas de revogação.

  • Anexe o armazenamento confiável ao receptor que está configurado para verificar os certificados do cliente.

Para obter step-by-step os procedimentos para configurar o modo de TLS verificação mútua com seu Application Load Balancer, consulte. Configuração mútua TLS em um Application Load Balancer

Antes de começar a configurar o Mutual TLS em seu Application Load Balancer

Antes de começar a configurar o Mutual TLS em seu Application Load Balancer, esteja ciente do seguinte:

Cotas

Os Application Load Balancers incluem certos limites relacionados à quantidade de armazenamentos confiáveis, certificados de CA e listas de revogação de certificados em uso em sua conta. AWS

Para obter mais informações, consulte Quotas for your Application Load Balancers.

Requisitos de certificados

Os Application Load Balancers oferecem suporte ao seguinte para certificados usados com TLS autenticação mútua:

  • Certificado compatível: X.509v3

  • Chaves públicas suportadas: RSA 2K — 8K ou ECDSA secp256r1, secp384r1, secp521r1

  • Algoritmos de assinatura suportados:SHA256, 384.512 com RSA/SHA256, 384, 512 with EC/SHA 256.384.512 hash com - com RSASSA PSS MGF1

Pacotes de certificados de CA

O seguinte se aplica aos pacotes de autoridade de certificação (CA):

  • Os Application Load Balancers fazem o upload de cada pacote de certificados de autoridade de certificação (CA) em lote. Os Application Load Balancers não oferecem suporte ao upload de certificados individuais. Se precisar adicionar novos certificados, você deverá fazer upload do arquivo do pacote de certificados.

  • Para substituir um pacote de certificados CA, use o. ModifyTrustStoreAPI

Pedido de certificado para passagem

Quando você usa a TLS passagem mútua, o Application Load Balancer insere cabeçalhos para apresentar a cadeia de certificados do cliente aos destinos de back-end. A ordem de apresentação começa com os certificados folha e termina com o certificado raiz.

Retomada da sessão

A retomada da sessão não é suportada ao usar os modos de TLS passagem mútua ou verificação com um Application Load Balancer.

Cabeçalhos HTTP

Os Application Load Balancers usam X-Amzn-Mtls cabeçalhos para enviar informações do certificado quando negociam conexões de clientes usando o Mutual. TLS Para obter mais informações e exemplos de cabeçalhos, consulte HTTPcabeçalhos e mútuos TLS.

Arquivos de certificado de CA

Os arquivos de certificado de CA devem atender aos seguintes requisitos:

  • O arquivo do certificado deve usar o formato PEM (Privacy Enhanced Mail).

  • O conteúdo do certificado deve estar dentro dos limites -----BEGIN CERTIFICATE----- e -----END CERTIFICATE-----.

  • Os comentários devem ser precedidos por um caractere # e não devem conter nenhum caractere -.

  • Não pode haver linhas em branco.

Exemplo de certificado que não é aceito (inválido):

# comments

Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 01
    Signature Algorithm: ecdsa-with-SHA384
        Issuer: C=US, O=EXAMPLE, OU=EXAMPLE, CN=EXAMPLE
        Validity
            Not Before: Jan 11 23:57:57 2024 GMT
            Not After : Jan 10 00:57:57 2029 GMT
        Subject: C=US, O=EXAMPLE, OU=EXAMPLE, CN=EXAMPLE
        Subject Public Key Info:
            Public Key Algorithm: id-ecPublicKey
                Public-Key: (384 bit)
                pub: 
                    00:01:02:03:04:05:06:07:08
                ASN1 OID: secp384r1
                NIST CURVE: P-384
        X509v3 extensions:
            X509v3 Key Usage: critical
                Digital Signature, Key Encipherment, Certificate Sign, CRL Sign
            X509v3 Basic Constraints: critical
                CA:TRUE
            X509v3 Subject Key Identifier: 
                00:01:02:03:04:05:06:07:08
            X509v3 Subject Alternative Name: 
                URI:EXAMPLE.COM
    Signature Algorithm: ecdsa-with-SHA384
         00:01:02:03:04:05:06:07:08
-----BEGIN CERTIFICATE-----
Base64–encoded certificate
-----END CERTIFICATE-----

Exemplos de certificados que são aceitos (válidos):

  1. Certificado único (PEM—codificado):

    # comments
-----BEGIN CERTIFICATE-----
Base64–encoded certificate
-----END CERTIFICATE-----

  2. Vários certificados (PEM—codificados):

    # comments
-----BEGIN CERTIFICATE-----
Base64–encoded certificate
-----END CERTIFICATE-----
# comments
-----BEGIN CERTIFICATE-----
Base64–encoded certificate
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Base64–encoded certificate
-----END CERTIFICATE-----

HTTPcabeçalhos e mútuos TLS

Esta seção descreve HTTP os cabeçalhos que os Application Load Balancers usam para enviar informações de certificado ao negociar conexões com clientes usando o Mutual. TLS X-Amzn-MtlsOs cabeçalhos específicos que o Application Load Balancer usa dependem do modo TLS mútuo que você especificou: modo de passagem ou modo de verificação.

Para obter informações sobre outros HTTP cabeçalhos suportados pelos Application Load Balancers, consulte. HTTPcabeçalhos e balanceadores de carga de aplicativos

HTTPcabeçalho para o modo de passagem

Para mútuo TLS no modo de passagem, os Application Load Balancers usam o cabeçalho a seguir.

Esse cabeçalho contém o PEM formato URL codificado em -de toda a cadeia de certificados do cliente apresentada na conexão, com +=/ caracteres seguros.

Exemplo de conteúdo do cabeçalho:

X-Amzn-Mtls-Clientcert: -----BEGIN%20CERTIFICATE-----%0AMIID<...reduced...>do0g%3D%3D%0A-----END%20CERTIFICATE-----%0A-----BEGIN%20CERTIFICATE-----%0AMIID1<...reduced...>3eZlyKA%3D%3D%0A-----END%20CERTIFICATE-----%0A

HTTPcabeçalhos para o modo de verificação

Para mútuo TLS no modo de verificação, os Application Load Balancers usam os cabeçalhos a seguir.

Esse cabeçalho contém uma representação hexadecimal do número de série do certificado folha.

Exemplo de conteúdo do cabeçalho:

X-Amzn-Mtls-Clientcert-Serial-Number: 03A5B1

Esse cabeçalho contém uma representação em RFC2253 sequência do nome distinto (DN) do emissor.

Exemplo de conteúdo do cabeçalho:

X-Amzn-Mtls-Clientcert-Issuer: CN=rootcamtls.com,OU=rootCA,O=mTLS,L=Seattle,ST=Washington,C=US

Esse cabeçalho contém uma representação em RFC2253 sequência do nome distinto (DN) do assunto.

Exemplo de conteúdo do cabeçalho:

X-Amzn-Mtls-Clientcert-Subject: CN=client_.com,OU=client-3,O=mTLS,ST=Washington,C=US

Esse cabeçalho contém um formato ISO86 01 da notAfter data notBefore e.

Exemplo de conteúdo do cabeçalho:

X-Amzn-Mtls-Clientcert-Validity: NotBefore=2023-09-21T01:50:17Z;NotAfter=2024-09-20T01:50:17Z

Esse cabeçalho contém um PEM formato URL codificado em -do certificado folha, com +=/ caracteres seguros.

Exemplo de conteúdo do cabeçalho:

X-Amzn-Mtls-Clientcert-Leaf: -----BEGIN%20CERTIFICATE-----%0AMIIG<...reduced...>NmrUlw%0A-----END%20CERTIFICATE-----%0A

Os nomes de assunto da Advertising Certificate Authority (CA) aprimoram o processo de autenticação ajudando os clientes a determinar quais certificados serão aceitos durante a TLS autenticação mútua.

Quando você ativa Anunciar nomes de assunto da CA, o Application Load Balancer anunciará a lista de nomes de assuntos de Autoridades Certificadoras CAs () em que confia, com base no armazenamento confiável ao qual está associado. Quando um cliente se conecta a um destino por meio do Application Load Balancer, o cliente recebe a lista de nomes de assuntos confiáveis da CA.

Durante o TLS handshake, quando o Application Load Balancer solicita um certificado de cliente, ele inclui uma lista de CA Distinguished Names DNs () confiáveis em sua mensagem de Solicitação de Certificado. Isso ajuda os clientes a selecionar certificados válidos que correspondam aos nomes de assunto da CA anunciados, simplificando o processo de autenticação e reduzindo os erros de conexão.

Você pode ativar o nome do assunto Anuncie CA em ouvintes novos e existentes. Para obter mais informações, consulte Adicionar um HTTPS ouvinte.

Logs de conexão para Application Load Balancers

O Elastic Load Balancing fornece logs de conexão que capturam atributos sobre as solicitações enviadas aos Application Load Balancers. Os registros de conexão contêm informações como o endereço IP e a porta do cliente, informações do certificado do cliente, resultados da conexão e TLS cifras que estão sendo usadas. Esses logs de conexão podem então ser usados para revisar padrões de solicitação e outras tendências.

Para saber mais sobre os logs de conexão, consulte Logs de conexão para o Application Load Balancer