在应用程序负载均衡器上配置双向 TLS - Elastic Load Balancing
创建信任存储关联信任存储查看信任存储详细信息修改信任存储删除信任存储

在应用程序负载均衡器上配置双向 TLS

本节包括在应用程序负载均衡器上配置双向 TLS 验证模式以进行身份验证的步骤。

要使用双向 TLS 传递模式,您只需要将侦听器配置为接受来自客户端的任何证书即可。当使用双向 TLS 传递时,应用程序负载均衡器会使用 HTTP 标头将整个客户端证书链发送到目标,这使您能够在应用程序中实现相应的身份验证和授权逻辑。有关更多信息,请参阅为您的应用程序负载均衡器创建 HTTPS 侦听器

当您在验证模式下使用相互 TLS 时,应用程序负载均衡器会在负载均衡器协商 TLS 连接时为客户端执行 X.509 客户端证书身份验证。

要使用双向 TLS 验证模式,请执行下列操作:

  • 创建新的信任存储资源。

  • 上传您的证书颁发机构(CA)捆绑包和(可选)吊销列表。

  • 将信任存储附加到配置为验证客户端证书的侦听器。

按照本节中的过程在 AWS Management Console 中的应用程序负载均衡器上配置双向 TLS 验证模式。要使用 API 操作而不是控制台配置双向 TLS,请参阅 Application Load Balancer API Reference Guide

创建信任存储

您可以通过三种方式创建信任存储:创建应用程序负载均衡器时、创建安全侦听器时以及使用信任存储控制台。如果您在创建负载均衡器或侦听器时添加信任存储,信任存储会自动与新侦听器关联。当您使用信任存储控制台创建信任存储时,必须自行将其与侦听器关联。

本节介绍如何使用信任存储控制台创建信任存储,但创建应用程序负载均衡器或侦听器时所使用的步骤是相同的。有关更多信息,请参阅 Configure a load balancer and a listenerCreate an HTTPS listener

先决条件:

  • 要创建信任存储,您必须拥有来自证书颁发机构(CA)的证书捆绑包。

使用控制台创建信任存储

  1. 通过以下网址打开 Amazon EC2 控制台:https://console.aws.amazon.com/ec2/

  2. 在导航窗格上,选择信任存储

  3. 选择创建信任存储

  4. 信任存储配置

    1. 对于信任存储,输入您的信任存储的名称。

    2. 对于证书颁发机构捆绑包,输入您希望信任存储使用的 CA 证书捆绑包的 Amazon S3 路径。

      可选:使用对象版本选择 CA 证书捆绑包的先前版本。否则,将使用当前版本。

  5. 对于吊销,您可以选择将证书吊销列表添加到信任存储。

    1. 证书吊销列表下,输入您希望信任存储使用的证书吊销列表的 Amazon S3 路径。

      可选:使用对象版本选择证书吊销列表的先前版本。否则,将使用当前版本。

  6. 对于信任存储标签,您可以选择输入最多 50 个标签以应用于信任存储。

  7. 选择创建信任存储

关联信任存储

创建信任存储后,您必须将其与侦听器关联,然后应用程序负载均衡器才能开始使用信任存储。每个安全侦听器只能关联一个信任存储,但一个信任存储可以关联到多个侦听器。

本节介绍了如何将信任存储关联到现有侦听器。或者,您可以在创建应用程序负载均衡器或侦听器时关联信任存储。有关更多信息,请参阅 Configure a load balancer and a listenerCreate an HTTPS listener

使用控制台关联信任存储

  1. 通过以下网址打开 Amazon EC2 控制台:https://console.aws.amazon.com/ec2/

  2. 在导航窗格中,选择负载均衡器

  3. 选择负载均衡器以查看其详细信息页面。

  4. 侦听器和规则选项卡上,选择 Protocol:Port 列中的链接以打开安全侦听器的详细信息页面。

  5. 安全选项卡上,选择编辑安全侦听器设置

  6. (可选)如果未启用双向 TLS,请在客户端证书处理下选择双向身份验证(mTLS),然后选择使用信任存储进行验证

  7. 信任存储下,选择您创建的信任存储。

  8. 选择 Save changes(保存更改)

查看信任存储详细信息

CA 证书捆绑包

CA 证书捆绑包是信任存储的一个必需组件。它是经过证书颁发机构验证的受信任的根证书和中间证书的集合。这些经过验证的证书确保客户端可以信任所呈现的证书由负载均衡器拥有。

您可以随时查看信任存储中当前 CA 证书捆绑包的内容。

查看 CA 证书捆绑包

使用控制台查看 CA 证书捆绑包

  1. 通过以下网址打开 Amazon EC2 控制台:https://console.aws.amazon.com/ec2/

  2. 在导航窗格上,选择信任存储

  3. 选择信任存储以查看详细信息页面。

  4. 选择操作,然后选择获取 CA 捆绑包

  5. 选择共享链接下载

证书吊销列表

或者,您可以为信任存储创建证书吊销列表。吊销列表由证书颁发机构发布,包含已吊销证书的数据。应用程序负载均衡器仅支持 PEM 格式的证书吊销列表。

当将证书吊销列表添加到信任存储时,系统会为其提供吊销 ID。每添加一个吊销列表到信任存储,吊销 ID 都会增加,并且不可更改。如果从信任存储中删除证书吊销列表,其吊销 ID 也会被删除,并且在信任存储的有效期内不会重复使用。

注意

应用程序负载均衡器无法吊销证书吊销列表中具有负序列号的证书。

查看证书吊销列表

使用控制台查看吊销列表

  1. 通过以下网址打开 Amazon EC2 控制台:https://console.aws.amazon.com/ec2/

  2. 在导航窗格上,选择信任存储

  3. 选择信任存储以查看详细信息页面。

  4. 证书吊销列表选项卡上,选择操作,然后选择获取吊销列表

  5. 选择共享链接下载

修改信任存储

一个信任存储一次只能包含一个 CA 证书捆绑包,但是您可以在创建信任存储后随时替换 CA 证书捆绑包。

替换 CA 证书捆绑包

使用控制台替换 CA 证书捆绑包

  1. 通过以下网址打开 Amazon EC2 控制台:https://console.aws.amazon.com/ec2/

  2. 在导航窗格上,选择信任存储

  3. 选择信任存储以查看详细信息页面。

  4. 选择操作,然后选择替换 CA 捆绑包

  5. 替换 CA 捆绑包页面上的证书颁发机构捆绑包下,输入所需 CA 捆绑包的 Amazon S3 位置。

  6. (可选)使用对象版本选择证书吊销列表的先前版本。否则,将使用当前版本。

  7. 选择替换 CA 捆绑包

添加证书吊销列表

使用控制台添加吊销列表

  1. 通过以下网址打开 Amazon EC2 控制台:https://console.aws.amazon.com/ec2/

  2. 在导航窗格上,选择信任存储

  3. 选择信任存储以查看其详细信息页面。

  4. 证书吊销列表选项卡上,选择操作,然后选择添加吊销列表

  5. 添加吊销列表页面上的证书吊销列表下,输入所需证书吊销列表的 Amazon S3 位置

  6. (可选)使用对象版本选择证书吊销列表的先前版本。否则,将使用当前版本。

  7. 选择添加吊销列表

删除证书吊销列表

使用控制台删除吊销列表

  1. 通过以下网址打开 Amazon EC2 控制台:https://console.aws.amazon.com/ec2/

  2. 在导航窗格上,选择信任存储

  3. 选择信任存储以查看详细信息页面。

  4. 证书吊销列表选项卡上,选择操作,然后选择删除吊销列表

  5. 键入 confirm 确认删除。

  6. 选择删除

删除信任存储

当您不再使用某个信任存储时,可以将其删除。

注意:您不能删除当前与某个侦听器关联的信任存储。

使用控制台删除信任存储

  1. 通过以下网址打开 Amazon EC2 控制台:https://console.aws.amazon.com/ec2/

  2. 在导航窗格上,选择信任存储

  3. 选择信任存储以查看其详细信息页面。

  4. 选择操作,然后选择删除信任存储

  5. 键入 confirm 确认删除。

  6. 选择删除