Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Mengkonfigurasi TLS timbal balik pada Application Load Balancer
<a name="configuring-mtls-with-elb"></a>

Untuk menggunakan mode passthrough TLS timbal balik, Anda hanya perlu mengonfigurasi pendengar untuk menerima sertifikat apa pun dari klien. Bila Anda menggunakan passthrough TLS timbal balik, Application Load Balancer mengirimkan seluruh rantai sertifikat klien ke target menggunakan header HTTP, yang memungkinkan Anda untuk menerapkan logika otentikasi dan otorisasi yang sesuai dalam aplikasi Anda. Untuk informasi selengkapnya, lihat [Membuat pendengar HTTPS untuk Application Load Balancer Anda](create-https-listener.md).

 Saat Anda menggunakan TLS timbal balik dalam mode verifikasi, Application Load Balancer melakukan otentikasi sertifikat klien X.509 untuk klien saat penyeimbang beban menegosiasikan koneksi TLS.

Untuk memanfaatkan modus verifikasi TLS timbal balik, lakukan hal berikut:
+ Buat sumber daya toko kepercayaan baru.
+ Unggah bundel otoritas sertifikat (CA) Anda dan, secara opsional, daftar pencabutan.
+ Lampirkan trust store ke listener yang dikonfigurasi untuk memverifikasi sertifikat klien.

Gunakan prosedur berikut untuk mengonfigurasi modus verifikasi TLS timbal balik pada Application Load Balancer Anda.

**Topics**
+ [Buat toko kepercayaan](#create-trust-store)
+ [Kaitkan toko kepercayaan](#associate-trust-store)
+ [Ganti bundel sertifikat CA](#replace-ca-cert-bundle)
+ [Menambahkan daftar pencabutan sertifikat](#add-cert-revocation-list)
+ [Menghapus daftar pencabutan sertifikat](#delete-cert-revocation-list)
+ [Hapus toko kepercayaan](#delete-trust-store)

## Buat toko kepercayaan
<a name="create-trust-store"></a>

Jika Anda menambahkan toko kepercayaan saat membuat penyeimbang beban atau pendengar, toko kepercayaan secara otomatis dikaitkan dengan pendengar baru. Jika tidak, Anda harus mengaitkannya dengan pendengar sendiri.

**Prasyarat**
+ Untuk membuat toko kepercayaan, Anda harus memiliki bundel sertifikat dari Otoritas Sertifikat (CA) Anda.

------
#### [ Console ]

Contoh berikut membuat toko kepercayaan menggunakan bagian **Trust Store** konsol. Atau, Anda dapat membuat toko kepercayaan saat membuat pendengar HTTP.

**Untuk membuat toko kepercayaan**

1. Buka konsol Amazon EC2 di. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)

1. Pada panel navigasi, pilih **Trust Stores**.

1. Pilih **Buat toko kepercayaan**.

1. **Konfigurasi toko kepercayaan**

   1. Untuk **nama toko Trust**, masukkan nama untuk toko kepercayaan Anda.

   1. Untuk **paket otoritas Sertifikat**, masukkan jalur Amazon S3 ke bundel sertifikat ca yang akan digunakan.

   1. (Opsional) Gunakan **versi Object** untuk memilih versi sebelumnya dari bundel sertifikat ca. Jika tidak, versi saat ini digunakan.

1. (Opsional) Untuk **Pencabutan**, Anda dapat menambahkan daftar pencabutan sertifikat ke toko kepercayaan Anda.

   1. Pilih **Tambahkan CRL baru** dan masukkan lokasi daftar pencabutan sertifikat di Amazon S3.

   1. (Opsional) Gunakan **versi Objek** untuk memilih versi sebelumnya dari daftar pencabutan sertifikat. Jika tidak, versi saat ini digunakan.

1. (Opsional) **Perluas tag toko Trust** dan masukkan hingga 50 tag untuk toko kepercayaan Anda.

1. Pilih **Buat toko kepercayaan**.

------
#### [ AWS CLI ]

**Untuk membuat toko kepercayaan**  
Gunakan perintah [create-trust-store](https://docs.aws.amazon.com/cli/latest/reference/elbv2/create-trust-store.html).

```
aws elbv2 create-trust-store \
    --name my-trust-store \
    --ca-certificates-bundle-s3-bucket amzn-s3-demo-bucket \
    --ca-certificates-bundle-s3-key certificates/ca-bundle.pem
```

------
#### [ CloudFormation ]

**Untuk membuat toko kepercayaan**  
Tentukan sumber daya tipe [AWS::ElasticLoadBalancingV2::TrustStore](https://docs.aws.amazon.com/AWSCloudFormation/latest/TemplateReference/aws-resource-elasticloadbalancingv2-truststore.html).

```
Resources:
  myTrustStore:
    Type: 'AWS::ElasticLoadBalancingV2::TrustStore'
    Properties:
      Name: my-trust-store
      CaCertificatesBundleS3Bucket: amzn-s3-demo-bucket
      CaCertificatesBundleS3Key: certificates/ca-bundle.pem
```

------

## Kaitkan toko kepercayaan
<a name="associate-trust-store"></a>

Setelah Anda membuat toko kepercayaan, Anda harus mengaitkannya dengan pendengar sebelum Application Load Balancer Anda dapat mulai menggunakan toko kepercayaan. Anda hanya dapat memiliki satu toko kepercayaan yang terkait dengan masing-masing pendengar aman Anda, tetapi satu toko kepercayaan dapat dikaitkan dengan beberapa pendengar.

------
#### [ Console ]

Anda dapat mengaitkan toko kepercayaan dengan pendengar yang ada, seperti yang ditunjukkan dalam prosedur berikut. Atau, Anda dapat mengaitkan toko kepercayaan saat membuat pendengar HTTPS. Untuk informasi selengkapnya, lihat [Membuat pendengar HTTPS](create-https-listener.md).

**Untuk mengaitkan toko kepercayaan**

1. Buka konsol Amazon EC2 di. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)

1. Pada panel navigasi, pilih **Load Balancers**.

1. Pilih penyeimbang beban.

1. Pada tab **Listeners and rules**, pilih link di kolom **Protocol:Port** untuk membuka halaman detail bagi listener aman.

1. Pada tab **Keamanan**, pilih **Edit pengaturan pendengar aman**.

1. Jika TLS timbal balik tidak diaktifkan, pilih **Mutual authentication (mTLS)** di bawah **penanganan sertifikat Klien** dan kemudian pilih **Verifikasi dengan trust store**.

1. Untuk **toko Trust**, pilih toko kepercayaan.

1. Pilih **Simpan perubahan**.

------
#### [ AWS CLI ]

**Untuk mengaitkan toko kepercayaan**  
Gunakan perintah [modifikasi-listener](https://docs.aws.amazon.com/cli/latest/reference/elbv2/modify-listener.html).

```
aws elbv2 modify-listener \
    --listener-arn listener-arn \
    --mutual-authentication "Mode=verify,TrustStoreArn=trust-store-arn"
```

------
#### [ CloudFormation ]

**Untuk mengaitkan toko kepercayaan**  
Perbarui [AWS::ElasticLoadBalancingV2::Listener](https://docs.aws.amazon.com/AWSCloudFormation/latest/TemplateReference/aws-resource-elasticloadbalancingv2-listener.html)sumber daya.

```
Resources:
  myHTTPSListener:
    Type: 'AWS::ElasticLoadBalancingV2::Listener'
    Properties: 
      LoadBalancerArn: !Ref myLoadBalancer
      Protocol: HTTPS
      Port: 443
      DefaultActions:
        - Type: "forward"
          TargetGroupArn: !Ref myTargetGroup
      SslPolicy: ELBSecurityPolicy-TLS13-1-2-2021-06
      Certificates: 
        - CertificateArn: certificate-arn
      MutualAuthentication:
        - Mode: verify
          TrustStoreArn: trust-store-arn
```

------

## Ganti bundel sertifikat CA
<a name="replace-ca-cert-bundle"></a>

Bundel sertifikat CA adalah komponen yang diperlukan dari toko kepercayaan. Ini adalah kumpulan sertifikat root dan perantara tepercaya yang telah divalidasi oleh otoritas sertifikat. Sertifikat yang divalidasi ini memastikan klien dapat mempercayai sertifikat yang disajikan dimiliki oleh penyeimbang beban.

Toko kepercayaan hanya dapat berisi satu bundel sertifikat CA pada satu waktu, tetapi Anda dapat mengganti bundel sertifikat CA kapan saja setelah toko kepercayaan dibuat.

------
#### [ Console ]

**Untuk mengganti bundel sertifikat CA**

1. Buka konsol Amazon EC2 di. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)

1. Pada panel navigasi, pilih **Trust Stores**.

1. Pilih toko kepercayaan.

1. Pilih **Tindakan**, **Ganti bundel CA**.

1. Pada halaman **bundel Ganti CA**, di bawah **bundel otoritas Sertifikat**, masukkan lokasi Amazon S3 dari bundel CA yang diinginkan.

1. (Opsional) Gunakan **versi Objek** untuk memilih versi sebelumnya dari daftar pencabutan sertifikat. Jika tidak, versi saat ini digunakan.

1. Pilih **Ganti bundel CA**.

------
#### [ AWS CLI ]

**Untuk mengganti bundel sertifikat CA**  
Gunakan perintah [modify-trust-store](https://docs.aws.amazon.com/cli/latest/reference/elbv2/modify-trust-store.html).

```
aws elbv2 modify-trust-store \
    --trust-store-arn trust-store-arn \
    --ca-certificates-bundle-s3-bucket amzn-s3-demo-bucket-new \
    --ca-certificates-bundle-s3-key certificates/new-ca-bundle-pem
```

------
#### [ CloudFormation ]

**Untuk memperbarui bundel sertifikat CA**  
Tentukan sumber daya tipe [AWS::ElasticLoadBalancingV2::TrustStore](https://docs.aws.amazon.com/AWSCloudFormation/latest/TemplateReference/aws-resource-elasticloadbalancingv2-truststore.html).

```
Resources:
  myTrustStore:
    Type: 'AWS::ElasticLoadBalancingV2::TrustStore'
    Properties:
      Name: my-trust-store
      CaCertificatesBundleS3Bucket: amzn-s3-demo-bucket-new
      CaCertificatesBundleS3Key: certificates/new-ca-bundle.pem
```

------

## Menambahkan daftar pencabutan sertifikat
<a name="add-cert-revocation-list"></a>

Secara opsional, Anda dapat membuat daftar pencabutan sertifikat untuk toko kepercayaan. Daftar pencabutan dirilis oleh otoritas sertifikat dan berisi data untuk sertifikat yang telah dicabut. Application Load Balancers hanya mendukung daftar pencabutan sertifikat dalam format PEM.

Ketika daftar pencabutan sertifikat ditambahkan ke toko kepercayaan, itu akan diberikan ID pencabutan. IDs Peningkatan pencabutan untuk setiap daftar pencabutan yang ditambahkan ke toko kepercayaan, dan mereka tidak dapat diubah.

Application Load Balancers tidak dapat mencabut sertifikat yang memiliki nomor seri negatif dalam daftar pencabutan sertifikat.

------
#### [ Console ]

**Untuk menambahkan daftar pencabutan**

1. Buka konsol Amazon EC2 di. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)

1. Pada panel navigasi, pilih **Trust Stores**.

1. Pilih toko kepercayaan untuk melihat halaman detailnya.

1. Pada tab **Daftar pencabutan sertifikat, pilih **Tindakan**, Tambahkan daftar** **pencabutan**.

1. Pada halaman **Tambahkan daftar pencabutan, di bawah daftar** **pencabutan sertifikat masukkan lokasi Amazon S3 dari daftar** pencabutan sertifikat yang diinginkan

1. (Opsional) Gunakan **versi Objek** untuk memilih versi sebelumnya dari daftar pencabutan sertifikat. Jika tidak, versi saat ini digunakan.

1. Pilih **Tambahkan daftar pencabutan**

------
#### [ AWS CLI ]

**Untuk menambahkan daftar pencabutan**  
Gunakan perintah [add-trust-store-revocations](https://docs.aws.amazon.com/cli/latest/reference/elbv2/add-trust-store-revocations.html).

```
aws elbv2 add-trust-store-revocations \
    --trust-store-arn trust-store-arn \
    --revocation-contents "S3Bucket=amzn-s3-demo-bucket,S3Key=crl/revoked-list.crl,RevocationType=CRL"
```

------
#### [ CloudFormation ]

**Untuk menambahkan daftar pencabutan**  
Tentukan sumber daya tipe [AWS::ElasticLoadBalancingV2::TrustStorePencabutan](https://docs.aws.amazon.com/AWSCloudFormation/latest/TemplateReference/aws-resource-elasticloadbalancingv2-truststorerevocation.html).

```
Resources:
  myRevocationContents:
    Type: 'AWS:ElasticLoadBalancingV2::TrustStoreRevocation'
    Properties:
      TrustStoreArn: !Ref myTrustStore
      RevocationContents:
        - RevocationType: CRL
          S3Bucket: amzn-s3-demo-bucket
          S3Key: crl/revoked-list.crl
```

------

## Menghapus daftar pencabutan sertifikat
<a name="delete-cert-revocation-list"></a>

Ketika Anda tidak lagi memerlukan daftar pencabutan sertifikat, Anda dapat menghapusnya. Saat Anda menghapus daftar pencabutan sertifikat dari toko kepercayaan, ID pencabutan itu juga dihapus dan tidak digunakan kembali selama masa pakai toko kepercayaan.

------
#### [ Console ]

**Untuk menghapus daftar pencabutan**

1. Buka konsol Amazon EC2 di. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)

1. Pada panel navigasi, pilih **Trust Stores**.

1. Pilih toko kepercayaan.

1. Pada tab **Daftar pencabutan sertifikat, pilih **Tindakan**, Hapus daftar** **pencabutan**.

1. Saat diminta mengonfirmasi, pilih **confirm**.

1. Pilih **Hapus**.

------
#### [ AWS CLI ]

**Untuk menghapus daftar pencabutan**  
Gunakan perintah [remove-trust-store-revocations](https://docs.aws.amazon.com/cli/latest/reference/elbv2/remove-trust-store-revocations.html).

```
aws elbv2 remove-trust-store-revocations \
    --trust-store-arn trust-store-arn \
    --revocation-ids id-1 id-2 id-3
```

------

## Hapus toko kepercayaan
<a name="delete-trust-store"></a>

Ketika Anda tidak lagi memiliki penggunaan untuk toko kepercayaan, Anda dapat menghapusnya. Anda tidak dapat menghapus toko kepercayaan yang terkait dengan pendengar.

------
#### [ Console ]

**Untuk menghapus toko kepercayaan**

1. Buka konsol Amazon EC2 di. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)

1. Pada panel navigasi, pilih **Trust Stores**.

1. Pilih toko kepercayaan.

1. Pilih **Hapus**.

1. Saat diminta konfirmasi, masukkan `confirm`, lalu pilih **Hapus**.

------
#### [ AWS CLI ]

**Untuk menghapus toko kepercayaan**  
Gunakan perintah [delete-trust-store](https://docs.aws.amazon.com/cli/latest/reference/elbv2/delete-trust-store.html).

```
aws elbv2 delete-trust-store \
    --trust-store-arn trust-store-arn
```

------