[新产品/新功能] AWS Application Load Balancer 引入证书颁发机构广告以简化在使用 Mutual TLS 时的客户端行为

<!-- AI_TASK_START: AI标题翻译 --> [新产品/新功能] AWS Application Load Balancer 引入证书颁发机构广告以简化在使用 Mutual TLS 时的客户端行为 <!-- AI_TASK_END: AI标题翻译 --> <!-- AI_TASK_START: AI竞争分析 --> # 产品功能分析 ## 新功能/新产品概述 AWS Application Load Balancer (ALB) 新增了 **Certificate Authority (CA) subject name** 广告功能，旨在简化客户端在 **Mutual TLS** 环境下的证书选择过程。通过启用此功能，ALB 会向尝试连接的客户端发送关联 **Trust Store** 中的 CA subject names 列表，帮助客户端快速识别可接受的证书，从而减少连接错误。该功能的背景是针对日益增长的网络安全需求，特别是双向认证场景，提供更流畅的连接体验。目标用户群包括使用 ALB 进行负载均衡的开发者和企业，适用于 Web 应用、API 服务等领域，市场定位聚焦于提升云计算安全性与易用性。 ## 关键客户价值 - 简化证书选择过程，减少 **Mutual TLS** 连接错误，提升应用程序的可靠性和整体用户体验；这通过提供 CA 列表帮助客户端避免无效尝试，实现更高效的认证机制。 - 与传统方案相比，该功能减少了手动配置和调试的复杂性，显著改善了运维效率，尤其在高流量环境中；然而，实际收益可能因具体实现而异。 - 在不同使用场景中，如跨区域应用或混合云部署，此功能增强了系统的灵活性，帮助客户更好地应对动态网络需求。 ## 关键技术洞察 - 该功能基于 **ALB** 的 **Trust Store** 机制工作，通过发送 CA subject names 列表实现事件驱动的证书验证，原理在于客户端收到列表后能自动匹配本地证书，避免不必要的连接失败。 - 技术创新点在于简化 **Mutual TLS** 握手过程，提高了连接的成功率和性能；这对安全性有正面影响，因为它鼓励更准确的证书使用，同时增强了可用性。 - 实现挑战可能包括配置复杂性，但通过 AWS APIs、AWS CLI 或 AWS Management Console 的支持，用户可以轻松启用；总体上，该创新有助于行业趋势向更智能的安全协议演进。 ## 其他信息 - 该功能已在所有商业 AWS 区域、AWS GovCloud (US) Regions 和 China Regions 可用，用户可参考 ALB 文档 [https://docs.aws.amazon.com/elasticloadbalancing/latest/application/mutual-authentication.html#advertise-ca-subject](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/mutual-authentication.html#advertise-ca-subject) 进行详细配置。 <!-- AI_TASK_END: AI竞争分析 --> <!-- AI_TASK_START: AI全文翻译 --> # AWS 应用负载均衡器引入证书颁发机构广告功能，以简化使用双向 TLS 时客户端行为 **原始链接:** [https://aws.amazon.com/about-aws/whats-new/2024/11/aws-application-load-balancer-certificate-authority-advertisement](https://aws.amazon.com/about-aws/whats-new/2024/11/aws-application-load-balancer-certificate-authority-advertisement) **发布时间:** 2024-11-22 **厂商:** AWS **类型:** WHATSNEW --- # AWS 应用负载均衡器引入证书颁发机构广告功能，以简化使用双向 TLS 时客户端行为 发布时间: 2024 年 11 月 22 日 应用负载均衡器 (Application Load Balancer, ALB) 现在支持广告存储在其关联的信任存储 (Trust Store) 中的证书颁发机构 (Certificate Authority, CA) 主体名称，以简化证书选择体验。通过启用此功能，ALB 会向尝试连接负载均衡器的客户端发送 CA 主体名称列表。客户端可以使用此列表来识别哪些证书会被 ALB 接受，从而减少双向 TLS (Mutual TLS) 身份验证过程中的连接错误。 您可以选择使用 AWS APIs、AWS CLI 或 AWS Management Console 配置广告 CA 主体名称功能。此功能适用于 [所有商业 AWS 区域](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)、[AWS GovCloud (US) 区域](https://aws.amazon.com/govcloud-us/) 和 [中国区域](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/#AWS_China_Regions*)。要了解更多信息，请参考 ALB [文档](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/mutual-authentication.html#advertise-ca-subject)。 <!-- AI_TASK_END: AI全文翻译 -->