Aktivieren Sie Mutual TLS für Distributionen CloudFront - Amazon CloudFront
Voraussetzungen und AnforderungenAktivieren Sie Mutual TLS (Konsole)Mutual TLS (AWS CLI) aktivierenViewer-ProtokollrichtlinienNächste Schritte

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Aktivieren Sie Mutual TLS für Distributionen CloudFront

Voraussetzungen und Anforderungen

CloudFrontIm Modus der gegenseitigen TLS-Überprüfung müssen alle Clients während des TLS-Handshakes gültige Zertifikate vorlegen. Verbindungen ohne gültige Zertifikate werden abgewiesen. Bevor Sie Mutual TLS für eine CloudFront Distribution aktivieren, stellen Sie sicher, dass Sie über Folgendes verfügen:

  • Sie haben einen Trust Store mit Ihren Zertifizierungsstellenzertifikaten erstellt

  • Hat den Trust Store mit Ihrer CloudFront Distribution verknüpft

  • Es wurde sichergestellt, dass für alle Verteilungs-Cache-Verhaltensweisen eine reine HTTPS-Viewer-Protokollrichtlinie verwendet wird

  • Es wurde sichergestellt, dass Ihre Distribution HTTP/2 verwendet (die Standardeinstellung, Viewer-MTLS wird auf HTTP/3 nicht unterstützt)

Anmerkung

Für die gegenseitige TLS-Authentifizierung sind HTTPS-Verbindungen zwischen Zuschauern und erforderlich. CloudFront Sie können mTLS nicht für eine Distribution aktivieren, deren Cache-Verhalten HTTP-Verbindungen unterstützt.

Aktivieren Sie Mutual TLS (Konsole)

Für neue Distributionen

Viewer-MTLS können beim Erstellen einer neuen Distribution in der CloudFront Konsole nicht konfiguriert werden. Erstellen Sie zuerst die Distribution mit beliebigen Mitteln (Konsole, CLI, API) und bearbeiten Sie dann die Verteilungseinstellungen, um Viewer-MTLS gemäß den nachstehenden Anweisungen für bestehende Distributionen zu aktivieren.

Für bestehende Distributionen

  1. Melden Sie sich bei an AWS-Managementkonsole und öffnen Sie die CloudFront Konsole unterhttps://console.aws.amazon.com/cloudfront/v4/home.

  2. Wählen Sie in der Verteilerliste die Distribution aus, die Sie ändern möchten.

  3. Stellen Sie sicher, dass die Viewer-Protokollrichtlinie für alle Cache-Verhaltensweisen auf „HTTP zu HTTPS umleiten“ oder „Nur HTTPS“ gesetzt ist. (Sie können die Registerkarte Cache-Verhalten auswählen, um alle Cache-Verhaltensweisen mit HTTP-Protokollrichtlinien anzuzeigen und zu aktualisieren.)

  4. Wählen Sie die Registerkarte Allgemein.

  5. Wählen Sie im Abschnitt Settings (Einstellungen) die Option Edit (Bearbeiten) aus.

  6. Suchen Sie im Bereich Konnektivität nach Viewer Mutual Authentication (mTLS).

  7. Stellen Sie „Gegenseitige Authentifizierung aktivieren“ auf „Ein“.

  8. Wählen Sie für den Validierungsmodus für Client-Zertifikate die Option Erforderlich (alle Clients müssen Zertifikate vorlegen) oder Optional (Clients können optional Zertifikate vorlegen) aus.

  9. Wählen Sie für Trust Store Ihren zuvor erstellten Trust Store aus.

  10. (Optional) Aktivieren Sie die Option Vertrauensspeicher-Zertifizierungsstellennamen ankündigen, wenn Sie während des TLS-Handshakes CA-Namen an Clients senden möchten CloudFront .

  11. (Optional) Aktivieren Sie die Option Ablaufdatum des Zertifikats ignorieren, wenn Sie Verbindungen mit abgelaufenen Zertifikaten zulassen möchten.

  12. Wählen Sie Änderungen speichern aus.

Mutual TLS (AWS CLI) aktivieren

Für neue Distributionen

Das folgende Beispiel zeigt, wie eine Distributions-Konfigurationsdatei (distribution-config.json) erstellt wird, die mTLS-Einstellungen enthält:

{
  "CallerReference": "cli-example-1",
  "Origins": {
    "Quantity": 1,
    "Items": [
      {
        "Id": "my-origin",
        "DomainName": "example.com",
        "CustomOriginConfig": {
          "HTTPPort": 80,
          "HTTPSPort": 443,
          "OriginProtocolPolicy": "https-only"
        }
      }
    ]
  },
  "DefaultCacheBehavior": {
    "TargetOriginId": "my-origin",
    "ViewerProtocolPolicy": "https-only",
    "MinTTL": 0,
    "ForwardedValues": {
      "QueryString": false,
      "Cookies": {
        "Forward": "none"
      }
    }
  },
  "ViewerCertificate": {
    "CloudFrontDefaultCertificate": true
  },
  "ViewerMtlsConfig": {
    "Mode": "required", 
    "TrustStoreConfig": {
        "TrustStoreId": {TRUST_STORE_ID},
        "AdvertiseTrustStoreCaNames": true,
        "IgnoreCertificateExpiry": true
    }
  },
  "Enabled": true
}

Erstellen Sie die Distribution mit aktiviertem mTLS mithilfe des folgenden Beispielbefehls:

aws cloudfront create-distribution --distribution-config file://distribution-config.json

Für bestehende Distributionen

Rufen Sie die aktuelle Distributionskonfiguration mit dem folgenden Beispielbefehl ab:

aws cloudfront get-distribution-config --id E1A2B3C4D5E6F7 --output json > dist-config.json

Bearbeiten Sie die Datei, um mTLS-Einstellungen hinzuzufügen. Fügen Sie Ihrer Distributionskonfiguration den folgenden Beispielabschnitt hinzu:

"ViewerMtlsConfig": {
    "Mode": "required", 
    "TrustStoreConfig": {
        "TrustStoreId": {TRUST_STORE_ID},
        "AdvertiseTrustStoreCaNames": true,
        "IgnoreCertificateExpiry": true
    }
}

Entfernen Sie das ETag Feld aus der Datei, speichern Sie seinen Wert jedoch separat.

Aktualisieren Sie die Distribution mithilfe des folgenden Beispielbefehls mit der neuen Konfiguration:

aws cloudfront update-distribution \
    --id E1A2B3C4D5E6F7 \
    --if-match YOUR-ETAG-VALUE \
    --distribution-config file://dist-config.json

Viewer-Protokollrichtlinien

Bei Verwendung von Mutual TLS müssen alle Verhaltensweisen des Verteilungscaches mit einer reinen HTTPS-Viewer-Protokollrichtlinie konfiguriert werden:

  • HTTP zu HTTPS umleiten — Leitet HTTP-Anfragen an HTTPS weiter, bevor die Zertifikatsvalidierung durchgeführt wird.

  • Nur HTTPS — Nimmt nur HTTPS-Anfragen an und führt eine Zertifikatsvalidierung durch.

Anmerkung

Die HTTP- und HTTPS-Viewer-Protokollrichtlinie wird bei gegenseitigem TLS nicht unterstützt, da HTTP-Verbindungen keine Zertifikatsvalidierung durchführen können.

Nächste Schritte

Nachdem Sie Viewer TLS auf Ihrer CloudFront Distribution aktiviert haben, können Sie Verbindungsfunktionen zuordnen, um eine benutzerdefinierte Logik zur Zertifikatsvalidierung zu implementieren. Mit Verbindungsfunktionen können Sie die integrierten mTLS-Authentifizierungsfunktionen um benutzerdefinierte Validierungsregeln, Zertifikatssperrprüfungen und Protokollierung erweitern. Einzelheiten zum Erstellen und Zuordnen von Verbindungsfunktionen finden Sie unter. Ordnen Sie eine CloudFront Verbindungsfunktion zu