Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Gegenseitige TLS-Authentifizierung mit CloudFront (Viewer mTLS)
Mutual TLS Authentication (Mutual Transport Layer Security Authentication — mTLS) ist ein Sicherheitsprotokoll, das die standardmäßige TLS-Authentifizierung um eine bidirektionale zertifikatsbasierte Authentifizierung erweitert, bei der sowohl Client als auch Server ihre Identität nachweisen müssen, bevor eine sichere Verbindung hergestellt werden kann. Mithilfe von Mutual TLS können Sie sicherstellen, dass nur Clients, die vertrauenswürdige TLS-Zertifikate vorlegen, Zugriff auf Ihre Distributionen erhalten. CloudFront
## Funktionsweise
Bei einem Standard-TLS-Handshake legt nur der Server dem Client ein Zertifikat vor, um seine Identität nachzuweisen. Bei Mutual TLS wird der Authentifizierungsprozess bidirektional. Wenn ein Client versucht, eine Verbindung zu Ihrer CloudFront Distribution herzustellen, CloudFront fordert er während des TLS-Handshakes ein Client-Zertifikat an. Der Client muss ein gültiges X.509 Zertifikat vorlegen, das anhand Ihres konfigurierten Vertrauensspeichers CloudFront validiert wird, bevor die sichere Verbindung hergestellt wird.
CloudFront führt diese Zertifikatsvalidierung an AWS Edge-Standorten durch, wodurch die Komplexität der Authentifizierung von Ihren Ursprungsservern abgenommen wird und gleichzeitig die globalen CloudFront Leistungsvorteile erhalten bleiben. Sie können mTLS in drei Modi konfigurieren:
+ **Erforderlicher Modus** (Standard) — CloudFront validiert das Client-Zertifikat anhand eines Vertrauensspeichers. Wenn die Überprüfung fehlschlägt oder kein Zertifikat vorgelegt wird, wird die CloudFront Verbindung verweigert. Verwenden Sie den Modus „Erforderlich“, wenn sich jeder Client mit einem gültigen Zertifikat authentifizieren muss.
+ **Optionaler Modus** — CloudFront validiert das Client-Zertifikat, falls eines vorgelegt wird, erlaubt aber Verbindungen ohne Zertifikat. Zertifikatsmetadaten sind in den Verbindungsfunktionen und HTTP-Headern verfügbar, damit Ihre Quelle Autorisierungsentscheidungen treffen kann. Verwenden Sie den optionalen Modus, wenn Sie sowohl authentifizierte als auch nicht authentifizierte Clients unterstützen.
+ **Passthrough-Modus** — validiert das Client-Zertifikat CloudFront nicht anhand eines Vertrauensspeichers. CloudFront überprüft nur, ob der Client den entsprechenden privaten Schlüssel besitzt. Es leitet das Zertifikat als HTTP-Header an Ihren Ursprung weiter, damit Ihr Ursprung die Validierung durchführen kann. Es ist kein Trust Store erforderlich und es findet kein Caching statt. Verwenden Sie den Passthrough-Modus, wenn Sie an Ihrem Ursprung bereits mTLS-Implementierungen haben.
## Anwendungsfälle
Die gegenseitige TLS-Authentifizierung CloudFront adressiert mehrere kritische Sicherheitsszenarien, in denen herkömmliche Authentifizierungsmethoden nicht ausreichen:
+ **Geräteauthentifizierung mit Inhalts-Caching** — Sie können Spielekonsolen, IoT-Geräte oder Unternehmenshardware authentifizieren, bevor Sie Zugriff auf Firmware-Updates, Spiele-Downloads oder interne Ressourcen gewähren. Jedes Gerät enthält ein einzigartiges Zertifikat, das seine Echtheit nachweist und gleichzeitig von den CloudFront Caching-Funktionen profitiert.
+ **API-to-API Authentifizierung** — Sie können die Kommunikation von Maschine zu Maschine zwischen vertrauenswürdigen Geschäftspartnern, Zahlungssystemen oder Mikrodiensten sichern. Certificate-based Die Authentifizierung macht gemeinsame Geheimnisse oder API-Schlüssel überflüssig und bietet gleichzeitig eine starke Identitätsprüfung für den automatisierten Datenaustausch.
**Topics**
+ [Funktionsweise](#how-mtls-works)
+ [Anwendungsfälle](#mtls-use-cases)
+ [Vertrauensspeicher und Zertifikatsverwaltung](trust-stores-certificate-management.md)
+ [Aktivieren Sie Mutual TLS für Distributionen CloudFront](enable-mtls-distributions.md)
+ [Ordnen Sie eine CloudFront Verbindungsfunktion zu](connection-functions.md)
+ [Konfiguration zusätzlicher Einstellungen](configuring-additional-settings.md)
+ [Zeigt die mTLS-Header für Cache-Richtlinien an und leitet sie an den Ursprung weiter](viewer-mtls-headers.md)
+ [Widerruf von Zertifikaten](certificate-revocation.md)
+ [Hilfsmethoden für gegenseitiges TLS](mtls-helper-methods-link.md)
+ [Zusätzliche Validierungsmodi](mtls-validation-modes.md)
+ [Beobachtbarkeit mithilfe von Verbindungsprotokollen](connection-logs.md)