本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
在 Applicati TLS on Load Balancer 上配置双向
本节包括在应用程序负载均衡器上为身份TLS验证配置相互验证模式的过程。
要使用双向TLS直通模式,您只需将侦听器配置为接受来自客户端的任何证书即可。当您使用相互TLS直通时,Application Load Balanc HTTP er 使用标头将整个客户端证书链发送到目标,这使您能够在应用程序中实现相应的身份验证和授权逻辑。有关更多信息,请参阅为您的 Application HTTPS Load Balancer 创建侦听器。
当您在验证模式下使用 mutu TLS al 时,当负载均衡器协商连接时,Application Load Balancer 会为客户端执行 X.509 客户端证书身份验证。TLS
要使用相互TLS验证模式,请执行以下操作:
创建新的信任存储资源。
上传您的证书颁发机构 (CA) 捆绑包和(可选)吊销列表。
将信任存储区附加到配置为验证客户端证书的侦听器。
按照本节中的步骤在中的 Application Load Balancer 上配置相互TLS验证模式 AWS Management Console。要使用API操作而不是控制台TLS进行双向配置,请参阅 App lication Load Balancer API 参考指南。
创建信任存储库
您可以通过三种方式创建信任存储:创建 Application Load Balancer 时、创建安全侦听器时,以及使用 Trust Store 控制台时。当您在创建负载均衡器或侦听器时添加信任存储时,该信任存储库会自动与新的侦听器关联。使用 Trust Store 控制台创建信任存储库时,必须自己将其与监听器相关联。
本节介绍如何使用 Trust Store 控制台创建信任存储,但是创建 Application Load Balancer 或侦听器时使用的步骤相同。有关更多信息,请参阅配置负载均衡器和侦听器和添加HTTPS侦听器。
先决条件:
-
要创建信任存储库,您必须拥有证书颁发机构 (CA) 的证书包。
使用控制台创建信任存储库
打开 Amazon EC2 控制台,网址为https://console.aws.amazon.com/ec2/
。 -
在导航窗格上,选择 Trust Stores。
-
选择 “创建信任存储”。
-
信任存储配置
-
在 T rust 商店名称中输入您的信任商店的名称。
-
对于证书颁发机构捆绑包,输入您希望信任存储库使用的 CA 证书捆绑包的 Amazon S3 路径。
可选:使用对象版本选择 ca 证书捆绑包的先前版本。否则,将使用当前版本。
-
-
对于撤销,您可以选择将证书吊销列表添加到您的信任存储中。
-
在证书吊销列表下,输入您希望信任存储库使用的证书吊销列表的 Amazon S3 路径。
可选:使用对象版本选择证书吊销列表的先前版本。否则,将使用当前版本。
-
-
对于信任存储标签,您可以选择输入最多 50 个标签以应用于您的信任存储。
-
选择 “创建信任存储”。
关联信任存储库
创建信任存储后,必须将其与侦听器关联,然后您的 Application Load Balancer 才能开始使用信任存储。您只能将一个信任存储库与每个安全侦听器相关联,但一个信任存储库可以与多个监听器相关联。
本节介绍如何将信任存储库与现有侦听器相关联。或者,您可以在创建 Application Load Balancer 或侦听器时关联信任存储。有关更多信息,请参阅配置负载均衡器和侦听器和添加HTTPS侦听器。
使用控制台关联信任存储库
打开 Amazon EC2 控制台,网址为https://console.aws.amazon.com/ec2/
。 -
在导航窗格中,选择负载均衡器。
-
选择负载均衡器以查看其详细信息页面。
-
在 “监听器和规则” 选项卡上,选择 “协议:端口” 列中的链接以打开安全侦听器的详细信息页面。
-
在 “安全” 选项卡上,选择 “编辑安全侦听器设置”。
-
(可选)如果未启用双TLS向认证,请在 “客户端证书处理” 下选择 “相互身份验证 (mTLS)”,然后选择 “使用信任库验证”。
-
在 “信任存储” 下,选择您创建的信任存储。
-
选择 Save changes(保存更改)。
查看信任存储详情
CA 证书捆绑包
CA 证书捆绑包是信任存储库的必需组件。它是一组经过证书颁发机构验证的可信根证书和中间证书。这些经过验证的证书可确保客户端可以信任所提供的证书归负载均衡器所有。
您可以随时在信任存储区中查看当前 CA 证书包的内容。
查看 CA 证书捆绑包
使用控制台查看 CA 证书包
打开 Amazon EC2 控制台,网址为https://console.aws.amazon.com/ec2/
。 -
在导航窗格上,选择 Trust Stores。
-
选择信任存储库以查看详细信息页面。
-
选择操作,然后选择获取 CA 捆绑包。
-
选择 “共享链接” 或 “下载”。
证书吊销清单
或者,您可以为信任存储库创建证书吊销列表。吊销列表由证书颁发机构发布,其中包含已被吊销的证书的数据。应用程序负载均衡器仅支持以下格式的证书吊销列表。PEM
将证书吊销列表添加到信任存储库时,会为其提供一个吊销 ID。每个添加到信任存储库的吊销列表都会IDs增加,并且无法更改。如果证书吊销列表从信任存储库中删除,则其吊销 ID 也会被删除,并且在信任存储的生命周期内不会重复使用。
注意
应用程序负载均衡器无法吊销证书吊销列表中序列号为负的证书。
查看证书吊销列表
使用控制台查看吊销列表
打开 Amazon EC2 控制台,网址为https://console.aws.amazon.com/ec2/
。 -
在导航窗格上,选择 Trust Stores。
-
选择信任存储库以查看详细信息页面。
-
在证书吊销列表选项卡上,选择操作,然后选择获取吊销列表。
-
选择 “共享链接” 或 “下载”。
修改信任存储库
一个信任存储一次只能包含一个 CA 证书包,但是在信任存储库创建后,您可以随时替换 CA 证书包。
更换 CA 证书包
使用控制台替换 CA 证书包
打开 Amazon EC2 控制台,网址为https://console.aws.amazon.com/ec2/
。 -
在导航窗格上,选择 Trust Stores。
-
选择信任存储库以查看详细信息页面。
-
选择操作,然后选择替换 CA 分发包。
-
在替换 CA 捆绑包页面的证书颁发机构捆绑包下,输入所需的 CA 捆绑包的 Amazon S3 位置。
-
(可选)使用对象版本选择证书吊销列表的先前版本。否则,将使用当前版本。
-
选择 “替换 CA 捆绑包”。
添加证书吊销列表
使用控制台添加吊销列表
打开 Amazon EC2 控制台,网址为https://console.aws.amazon.com/ec2/
。 -
在导航窗格上,选择 Trust Stores。
-
选择信任存储库以查看其详细信息页面。
-
在证书吊销列表选项卡上,选择操作,然后选择添加吊销列表。
-
在添加吊销列表页面的证书吊销列表下,输入所需证书吊销列表的 Amazon S3 位置
-
(可选)使用对象版本选择证书吊销列表的先前版本。否则,将使用当前版本。
-
选择 “添加吊销列表”
删除证书吊销列表
使用控制台删除吊销列表
打开 Amazon EC2 控制台,网址为https://console.aws.amazon.com/ec2/
。 -
在导航窗格上,选择 Trust Stores。
-
选择信任存储库以查看详细信息页面。
-
在证书吊销列表选项卡上,选择操作,然后选择删除吊销列表。
-
键入确认删除
confirm
。 -
选择删除。
删除信任存储库
当您不再使用信任存储时,可以将其删除。
注意:您无法删除当前与监听器关联的信任存储库。
使用控制台删除信任存储库
打开 Amazon EC2 控制台,网址为https://console.aws.amazon.com/ec2/
。 -
在导航窗格上,选择 Trust Stores。
-
选择信任存储库以查看其详细信息页面。
-
选择操作,然后选择删除信任存储。
-
键入确认删除
confirm
。 -
选择 “删除”