发布于: Apr 25, 2024
应用程序负载均衡器 (ALB) 现在支持双向 TLS,使您能够在建立 TLS 加密连接的同时对客户端进行身份验证。
适用于 ALB 的双向 TLS 为验证 X.509 客户端证书提供了两种不同的选项。使用 ALB 的双向 TLS 直通模式,ALB 将使用 HTTP 标头将整个客户端证书链发送到目标,从而使您能够在应用程序中实现相关的身份验证和授权逻辑。或者,如果使用的是双向 TLS 验证模式,则可以在协商 TLS 连接时将 X.509 客户端证书身份验证卸载给 ALB。您可以对来自任何第三方证书颁发机构 (CA) 的客户端进行身份验证。还可以选择性地启用吊销检查,以限制对已遭盗用的客户端证书的访问。
首先,您可以使用 Amazon Web Services API 或亚马逊云科技管理控制台在 ALB 上配置双向 TLS。对于直通模式,您只需将侦听器配置为接受来自客户端的任何证书即可。对于验证模式,您需要创建新的信任存储区 (TS) 资源,上传 CA 捆绑包和吊销列表,并将该 TS 附加到配置为验证客户端证书的侦听器。
双向 TLS 在由光环新网运营的亚马逊云科技中国(北京)区域和西云数据运营的亚马逊云科技中国(宁夏)区域的 ALB 推出。要了解更多信息,请参阅亚马逊云科技新闻博客和 ALB 文档。 有关定价的详细信息,请参阅定价页面。