发布于: Nov 26, 2023
应用程序负载均衡器 (ALB) 现在支持双向 TLS,使您能够在建立 TLS 加密连接的同时对客户端进行身份验证。
适用于 ALB 的双向 TLS 提供了两种不同的选项来验证您的 X.509 客户端证书。借助 ALB 的双向 TLS 直通模式,ALB 将使用 HTTP 标头将整个客户端证书链发送到目标,使您能够在应用程序中实现相关的身份验证和授权逻辑。或者,如果您使用的是双向 TLS 验证模式,则可以在协商 TLS 连接时将 X.509 客户端证书身份验证卸载到 ALB。您可以对来自任何第三方证书颁发机构 (CA) 或 AWS 私有证书颁发机构 (PCA) 的客户端进行身份验证。您还可以选择启用撤销检查以限制对受损客户端证书的访问。
您可以从使用 AWS API 或 AWS 管理控制台在 ALB 上配置双向 TLS 入手。对于直通模式,只需将侦听器配置为接受来自客户端的任何证书。在验证模式下,您需要创建新的信任存储 (TS) 资源,上传 CA 捆绑包和撤销列表,并将该 TS 连接到配置为验证客户端证书的侦听器。
双向 TLS 已在所有 AWS 商业区域和 AWS GovCloud(美国)区域面向 ALB 推出。要了解更多信息,请参阅 AWS 新闻博客和 ALB 文档。有关定价的详细信息,请浏览定价页面。