Veröffentlicht am: Nov 26, 2023
Application Load Balancer (ALB) unterstützt jetzt Mutual TLS, sodass Sie Clients authentifizieren und gleichzeitig TLS-verschlüsselte Verbindungen aufbauen können.
Mutual TLS für ALB bietet zwei verschiedene Optionen für die Validierung Ihrer X.509-Client-Zertifikate. Im Mutual-TLS-Durchleitungsmodus von ALB sendet ALB die gesamte Client-Zertifikatskette mithilfe von HTTP-Headern an das Ziel, sodass Sie die entsprechende Authentifizierungs- und Autorisierungslogik in Ihrer Anwendung implementieren können. Wenn Sie den Mutual-TLS-Verifizierungsmodus verwenden, können Sie alternativ die X.509-Client-Zertifikatsauthentifizierung beim Aushandeln von TLS-Verbindungen an den ALB auslagern. Sie können Kunden über jede Drittanbieter-Zertifizierungsstelle (CA) oder die AWS Private Certificate Authority (PCA) authentifizieren. Sie können optional auch Widerrufsprüfungen aktivieren, um den Zugriff auf kompromittierte Client-Zertifikate einzuschränken.
Sie können beginnen, indem Sie Mutual TLS im ALB mithilfe von AWS-APIs oder der AWS-Managementkonsole konfigurieren. Für den Durchleitungsmodus können Sie den Listener einfach so konfigurieren, dass er alle Zertifikate vom Client akzeptiert. Für den Überprüfungsmodus müssen Sie eine neue Trust Store (TS)-Ressource erstellen, Ihr CA-Paket und Ihre Widerrufslisten hochladen und den TS an Ihren Listener anhängen, der für die Überprüfung von Client-Zertifikaten konfiguriert ist.
Mutual TLS ist für ALBs in allen kommerziellen AWS-Regionen und den Regionen AWS GovCloud (USA) verfügbar. Weitere Informationen finden Sie im AWS News Blog und in der ALB-Dokumentation. Einzelheiten zu den Preisen finden Sie auf der Preisseite.