Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Mengkonfigurasi TLS timbal balik pada Application Load Balancer
Untuk menggunakan mode passthrough TLS timbal balik, Anda hanya perlu mengonfigurasi pendengar untuk menerima sertifikat apa pun dari klien. Bila Anda menggunakan passthrough TLS timbal balik, Application Load Balancer mengirimkan seluruh rantai sertifikat klien ke target menggunakan header HTTP, yang memungkinkan Anda untuk menerapkan logika otentikasi dan otorisasi yang sesuai dalam aplikasi Anda. Untuk informasi selengkapnya, lihat Membuat pendengar HTTPS untuk Application Load Balancer Anda.
Saat Anda menggunakan TLS timbal balik dalam mode verifikasi, Application Load Balancer melakukan otentikasi sertifikat klien X.509 untuk klien saat penyeimbang beban menegosiasikan koneksi TLS.
Untuk memanfaatkan modus verifikasi TLS timbal balik, lakukan hal berikut:
Buat sumber daya toko kepercayaan baru.
Unggah bundel otoritas sertifikat (CA) Anda dan, secara opsional, daftar pencabutan.
Lampirkan trust store ke listener yang dikonfigurasi untuk memverifikasi sertifikat klien.
Gunakan prosedur berikut untuk mengonfigurasi modus verifikasi TLS timbal balik pada Application Load Balancer Anda.
Buat toko kepercayaan
Jika Anda menambahkan toko kepercayaan saat membuat penyeimbang beban atau pendengar, toko kepercayaan secara otomatis dikaitkan dengan pendengar baru. Jika tidak, Anda harus mengaitkannya dengan pendengar sendiri.
- Console
-
Contoh berikut membuat toko kepercayaan menggunakan bagian Trust Store konsol. Atau, Anda dapat membuat toko kepercayaan saat membuat pendengar HTTP.
Untuk membuat toko kepercayaan
Buka EC2 konsol Amazon di https://console.aws.amazon.com/ec2/.
-
Pada panel navigasi, pilih Trust Stores.
-
Pilih Buat toko kepercayaan.
-
Konfigurasi toko kepercayaan
-
Untuk nama toko Trust, masukkan nama untuk toko kepercayaan Anda.
-
Untuk paket otoritas Sertifikat, masukkan jalur Amazon S3 ke bundel sertifikat ca yang akan digunakan.
-
(Opsional) Gunakan versi Object untuk memilih versi sebelumnya dari bundel sertifikat ca. Jika tidak, versi saat ini digunakan.
-
(Opsional) Untuk Pencabutan, Anda dapat menambahkan daftar pencabutan sertifikat ke toko kepercayaan Anda.
-
Pilih Tambahkan CRL baru dan masukkan lokasi daftar pencabutan sertifikat di Amazon S3.
-
(Opsional) Gunakan versi Objek untuk memilih versi sebelumnya dari daftar pencabutan sertifikat. Jika tidak, versi saat ini digunakan.
-
(Opsional) Perluas tag toko Trust dan masukkan hingga 50 tag untuk toko kepercayaan Anda.
-
Pilih Buat toko kepercayaan.
- AWS CLI
-
Untuk membuat toko kepercayaan
Gunakan perintah create-trust-store.
aws elbv2 create-trust-store \
--name my-trust-store \
--ca-certificates-bundle-s3-bucket amzn-s3-demo-bucket \
--ca-certificates-bundle-s3-key certificates/ca-bundle.pem
- CloudFormation
-
Untuk membuat toko kepercayaan
Tentukan sumber daya tipe AWS::ElasticLoadBalancingV2::TrustStore.
Resources:
myTrustStore:
Type: 'AWS::ElasticLoadBalancingV2::TrustStore'
Properties:
Name: my-trust-store
CaCertificatesBundleS3Bucket: amzn-s3-demo-bucket
CaCertificatesBundleS3Key: certificates/ca-bundle.pem
Kaitkan toko kepercayaan
Setelah Anda membuat toko kepercayaan, Anda harus mengaitkannya dengan pendengar sebelum Application Load Balancer Anda dapat mulai menggunakan toko kepercayaan. Anda hanya dapat memiliki satu toko kepercayaan yang terkait dengan masing-masing pendengar aman Anda, tetapi satu toko kepercayaan dapat dikaitkan dengan beberapa pendengar.
- Console
-
Anda dapat mengaitkan toko kepercayaan dengan pendengar yang ada, seperti yang ditunjukkan dalam prosedur berikut. Atau, Anda dapat mengaitkan toko kepercayaan saat membuat pendengar HTTPS. Untuk informasi selengkapnya, lihat Membuat pendengar HTTPS.
Untuk mengaitkan toko kepercayaan
Buka EC2 konsol Amazon di https://console.aws.amazon.com/ec2/.
-
Pada panel navigasi, pilih Load Balancers.
-
Pilih penyeimbang beban.
-
Pada tab Listeners and rules, pilih link di kolom Protocol:Port untuk membuka halaman detail bagi listener aman.
-
Pada tab Keamanan, pilih Edit pengaturan pendengar aman.
-
Jika TLS timbal balik tidak diaktifkan, pilih Mutual authentication (mTLS) di bawah penanganan sertifikat Klien dan kemudian pilih Verifikasi dengan trust store.
-
Untuk toko Trust, pilih toko kepercayaan.
-
Pilih Simpan perubahan.
- AWS CLI
-
Untuk mengaitkan toko kepercayaan
Gunakan perintah modifikasi-listener.
aws elbv2 modify-listener \
--listener-arn listener-arn \
--mutual-authentication "Mode=verify,TrustStoreArn=trust-store-arn"
- CloudFormation
-
Untuk mengaitkan toko kepercayaan
Perbarui AWS::ElasticLoadBalancingV2::Listenersumber daya.
Resources:
myHTTPSListener:
Type: 'AWS::ElasticLoadBalancingV2::Listener'
Properties:
LoadBalancerArn: !Ref myLoadBalancer
Protocol: HTTPS
Port: 443
DefaultActions:
- Type: "forward"
TargetGroupArn: !Ref myTargetGroup
SslPolicy: ELBSecurityPolicy-TLS13-1-2-2021-06
Certificates:
- CertificateArn: certificate-arn
MutualAuthentication:
- Mode: verify
TrustStoreArn: trust-store-arn
Ganti bundel sertifikat CA
Bundel sertifikat CA adalah komponen yang diperlukan dari toko kepercayaan. Ini adalah kumpulan sertifikat root dan perantara tepercaya yang telah divalidasi oleh otoritas sertifikat. Sertifikat yang divalidasi ini memastikan klien dapat mempercayai sertifikat yang disajikan dimiliki oleh penyeimbang beban.
Toko kepercayaan hanya dapat berisi satu bundel sertifikat CA pada satu waktu, tetapi Anda dapat mengganti bundel sertifikat CA kapan saja setelah toko kepercayaan dibuat.
- Console
-
Untuk mengganti bundel sertifikat CA
Buka EC2 konsol Amazon di https://console.aws.amazon.com/ec2/.
-
Pada panel navigasi, pilih Trust Stores.
-
Pilih toko kepercayaan.
-
Pilih Tindakan, Ganti bundel CA.
-
Pada halaman bundel Ganti CA, di bawah bundel otoritas Sertifikat, masukkan lokasi Amazon S3 dari bundel CA yang diinginkan.
-
(Opsional) Gunakan versi Objek untuk memilih versi sebelumnya dari daftar pencabutan sertifikat. Jika tidak, versi saat ini digunakan.
-
Pilih Ganti bundel CA.
- AWS CLI
-
Untuk mengganti bundel sertifikat CA
Gunakan perintah modify-trust-store.
aws elbv2 modify-trust-store \
--trust-store-arn trust-store-arn \
--ca-certificates-bundle-s3-bucket amzn-s3-demo-bucket-new \
--ca-certificates-bundle-s3-key certificates/new-ca-bundle-pem
- CloudFormation
-
Untuk memperbarui bundel sertifikat CA
Tentukan sumber daya tipe AWS::ElasticLoadBalancingV2::TrustStore.
Resources:
myTrustStore:
Type: 'AWS::ElasticLoadBalancingV2::TrustStore'
Properties:
Name: my-trust-store
CaCertificatesBundleS3Bucket: amzn-s3-demo-bucket-new
CaCertificatesBundleS3Key: certificates/new-ca-bundle.pem
Menambahkan daftar pencabutan sertifikat
Secara opsional, Anda dapat membuat daftar pencabutan sertifikat untuk toko kepercayaan. Daftar pencabutan dirilis oleh otoritas sertifikat dan berisi data untuk sertifikat yang telah dicabut. Application Load Balancers hanya mendukung daftar pencabutan sertifikat dalam format PEM.
Ketika daftar pencabutan sertifikat ditambahkan ke toko kepercayaan, itu akan diberikan ID pencabutan. IDs Peningkatan pencabutan untuk setiap daftar pencabutan yang ditambahkan ke toko kepercayaan, dan mereka tidak dapat diubah.
Application Load Balancers tidak dapat mencabut sertifikat yang memiliki nomor seri negatif dalam daftar pencabutan sertifikat.
- Console
-
Untuk menambahkan daftar pencabutan
Buka EC2 konsol Amazon di https://console.aws.amazon.com/ec2/.
-
Pada panel navigasi, pilih Trust Stores.
-
Pilih toko kepercayaan untuk melihat halaman detailnya.
-
Pada tab Daftar pencabutan sertifikat, pilih Tindakan, Tambahkan daftar pencabutan.
-
Pada halaman Tambahkan daftar pencabutan, di bawah daftar pencabutan sertifikat masukkan lokasi Amazon S3 dari daftar pencabutan sertifikat yang diinginkan
-
(Opsional) Gunakan versi Objek untuk memilih versi sebelumnya dari daftar pencabutan sertifikat. Jika tidak, versi saat ini digunakan.
-
Pilih Tambahkan daftar pencabutan
- AWS CLI
-
Untuk menambahkan daftar pencabutan
Gunakan perintah add-trust-store-revocations.
aws elbv2 add-trust-store-revocations \
--trust-store-arn trust-store-arn \
--revocation-contents "S3Bucket=amzn-s3-demo-bucket,S3Key=crl/revoked-list.crl,RevocationType=CRL"
- CloudFormation
-
Untuk menambahkan daftar pencabutan
Tentukan sumber daya tipe AWS::ElasticLoadBalancingV2::TrustStorePencabutan.
Resources:
myRevocationContents:
Type: 'AWS:ElasticLoadBalancingV2::TrustStoreRevocation'
Properties:
TrustStoreArn: !Ref myTrustStore
RevocationContents:
- RevocationType: CRL
S3Bucket: amzn-s3-demo-bucket
S3Key: crl/revoked-list.crl
Menghapus daftar pencabutan sertifikat
Ketika Anda tidak lagi memerlukan daftar pencabutan sertifikat, Anda dapat menghapusnya. Saat Anda menghapus daftar pencabutan sertifikat dari toko kepercayaan, ID pencabutan itu juga dihapus dan tidak digunakan kembali selama masa pakai toko kepercayaan.
- Console
-
Untuk menghapus daftar pencabutan
Buka EC2 konsol Amazon di https://console.aws.amazon.com/ec2/.
-
Pada panel navigasi, pilih Trust Stores.
-
Pilih toko kepercayaan.
-
Pada tab Daftar pencabutan sertifikat, pilih Tindakan, Hapus daftar pencabutan.
-
Saat diminta mengonfirmasi, pilih confirm.
-
Pilih Hapus.
- AWS CLI
-
Untuk menghapus daftar pencabutan
Gunakan perintah remove-trust-store-revocations.
aws elbv2 remove-trust-store-revocations \
--trust-store-arn trust-store-arn \
--revocation-ids id-1 id-2 id-3
Hapus toko kepercayaan
Ketika Anda tidak lagi memiliki penggunaan untuk toko kepercayaan, Anda dapat menghapusnya. Anda tidak dapat menghapus toko kepercayaan yang terkait dengan pendengar.
- Console
-
- AWS CLI
-
Untuk menghapus toko kepercayaan
Gunakan perintah delete-trust-store.
aws elbv2 delete-trust-store \
--trust-store-arn trust-store-arn
