Validierung von Client-Zertifikaten (Optionaler Modus)Ankündigung der Zertifizierungsstelle Behandlung des Ablaufs von Zertifikaten Nächste Schritte

Konfiguration zusätzlicher Einstellungen

Nachdem Sie die grundlegende gegenseitige TLS-Authentifizierung aktiviert haben, können Sie zusätzliche Einstellungen konfigurieren, um das Authentifizierungsverhalten an bestimmte Anwendungsfälle und Anforderungen anzupassen.

Validierung von Client-Zertifikaten (Optionaler Modus)

CloudFront bietet einen alternativen optionalen Validierungsmodus für Client-Zertifikate, der vorgelegte Client-Zertifikate validiert, aber Clients, die keine Zertifikate vorlegen, Zugriff gewährt.

Verhalten im optionalen Modus

Gewährt Clients mit gültigen Zertifikaten eine Verbindung (ungültige Zertifikate werden verweigert).
Ermöglicht die Verbindung zu Clients ohne Zertifikate
Ermöglicht gemischte Client-Authentifizierungsszenarien über eine einzige Verteilung.

Der optionale Modus eignet sich ideal für die schrittweise Migration zur mTLS-Authentifizierung, unterstützt Clients mit Zertifikaten und Clients ohne Zertifikate oder gewährleistet die Abwärtskompatibilität mit älteren Clients.

Anmerkung

Im optionalen Modus werden Verbindungsfunktionen auch dann aufgerufen, wenn Clients keine Zertifikate vorlegen. Auf diese Weise können Sie benutzerdefinierte Logik implementieren, z. B. die Protokollierung von Client-IP-Adressen oder die Anwendung verschiedener Richtlinien, je nachdem, ob Zertifikate vorgelegt werden.

So konfigurieren Sie den optionalen Modus (Konsole)

Navigieren Sie in Ihren Distributionseinstellungen zur Registerkarte Allgemein und wählen Sie Bearbeiten aus.
Scrollen Sie im Connectivity-Container zum Abschnitt Viewer Mutual Authentication (mTLS).
Wählen Sie für den Validierungsmodus für Client-Zertifikate die Option Optional aus.
Speichern Sie die Änderungen.

So konfigurieren Sie den optionalen Modus (AWS CLI)

Das folgende Beispiel zeigt, wie der optionale Modus konfiguriert wird:



"ViewerMtlsConfig": {
   "Mode": "optional",
   ...other settings
}

Ankündigung der Zertifizierungsstelle

Das AdvertiseTrustStoreCaNames Feld steuert, ob die Liste der vertrauenswürdigen Zertifizierungsstellennamen während des TLS-Handshakes an die Clients CloudFront gesendet wird, sodass die Clients das entsprechende Zertifikat auswählen können.

So konfigurieren Sie CA-Werbung (Konsole)

Navigieren Sie in Ihren Distributionseinstellungen zur Registerkarte Allgemein und wählen Sie Bearbeiten aus.
Scrollen Sie im Connectivity-Container zum Abschnitt Viewer Mutual Authentication (mTLS).
Aktivieren oder deaktivieren Sie das Kontrollkästchen Vertrauensspeicher-Zertifizierungsstellennamen ankündigen.
Wählen Sie Änderungen speichern aus.

So konfigurieren Sie CA Advertisement (AWS CLI)

Das folgende Beispiel zeigt, wie CA-Werbung aktiviert wird:


"ViewerMtlsConfig": {
   "Mode": "required", // or "optional"
   "TrustStoreConfig": {
      "AdvertiseTrustStoreCaNames": true,
      ...other settings
   } 
}

Behandlung des Ablaufs von Zertifikaten

Die IgnoreCertificateExpiry Eigenschaft bestimmt, wie CloudFront auf abgelaufene Client-Zertifikate reagiert wird. CloudFront Lehnt standardmäßig abgelaufene Clientzertifikate ab, Sie können es jedoch so konfigurieren, dass sie bei Bedarf akzeptiert werden. Dies ist in der Regel für Geräte mit abgelaufenen Zertifikaten aktiviert, die nicht ohne Weiteres aktualisiert werden können.

So konfigurieren Sie die Behandlung von Zertifikatsablaufzeiten (Konsole)

Navigieren Sie in Ihren Verteilungseinstellungen zur Registerkarte Allgemein und wählen Sie Bearbeiten aus.
Scrollen Sie im Connectivity-Container zum Bereich Viewer Mutual Authentication (mTLS).
Aktivieren oder deaktivieren Sie das Kontrollkästchen Ablaufdatum des Zertifikats ignorieren.
Wählen Sie Änderungen speichern aus.

So konfigurieren Sie die Behandlung von Zertifikatsablaufzeiten (AWS CLI)

Das folgende Beispiel zeigt, wie der Ablauf von Zertifikaten ignoriert wird:


"ViewerMtlsConfig": {
  "Mode": "required", // or "optional"
  "TrustStoreConfig": {
     "IgnoreCertificateExpiry": false,
     ...other settings
  }
}

Anmerkung

IgnoreCertificateExpirygilt nur für die Gültigkeitsdaten der Zertifikate. Alle anderen Prüfungen zur Validierung von Zertifikaten gelten weiterhin (Vertrauenskette, Signaturvalidierung).

Nächste Schritte

Nachdem Sie zusätzliche Einstellungen konfiguriert haben, können Sie die Header-Weiterleitung einrichten, um Zertifikatsinformationen an Ihre Ursprünge weiterzuleiten, den Zertifikatswiderruf mithilfe von Verbindungsfunktionen und KeyValueStore implementieren und Verbindungsprotokolle für die Überwachung aktivieren. Einzelheiten zur Weiterleitung von Zertifikatsinformationen an Ursprünge finden Sie unter Header an Ursprünge weiterleiten.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Ordnen Sie eine CloudFront Verbindungsfunktion zu

Zeigt die mTLS-Header für Cache-Richtlinien an und leitet sie an den Ursprung weiter