Voraussetzungen und Anforderungen Aktivieren Sie Mutual TLS (Origin)AWS CLI verwenden Nächste Schritte

Aktivieren Sie Mutual TLS (Origin) für Distributionen CloudFront

Nachdem Sie über Certificate Manager ein AWS Client-Zertifikat erhalten und Ihren Ursprungsserver so konfiguriert haben, dass er gegenseitiges TLS erfordert, können Sie Mutual TLS (Origin) auf Ihrer CloudFront Distribution aktivieren.

Voraussetzungen und Anforderungen

Bevor Sie Mutual TLS (Origin) für eine CloudFront Distribution aktivieren, stellen Sie sicher, dass Sie über Folgendes verfügen:

Ein im Certificate Manager in der Region USA Ost (Nord-Virginia) (us-east-1) gespeichertes AWS Client-Zertifikat
Original-Server, die so konfiguriert sind, dass sie eine gegenseitige TLS-Authentifizierung erfordern und Client-Zertifikate validieren
Ursprungsserver, die Zertifikate von öffentlich vertrauenswürdigen Zertifizierungsstellen präsentieren
Berechtigungen zum Ändern von CloudFront Distributionen
Mutual TLS (Origin) ist nur für Business-, Premium- oder Pay-as-you-go-Preispläne verfügbar.

Anmerkung

Mutual TLS (Origin) kann für benutzerdefinierte Origins (einschließlich Origins, die extern gehostet werden AWS) und AWS Origins, die Mutual TLS unterstützen, wie Application Load Balancer und API Gateway, konfiguriert werden.

Wichtig

Die folgenden CloudFront Funktionen werden mit Mutual TLS (Origin) nicht unterstützt:

gRPC-Verkehr: Das gRPC-Protokoll wird für Ursprünge mit aktiviertem Mutual TLS (Origin) nicht unterstützt
WebSocket Verbindungen: Das WebSocket Protokoll wird für Ursprünge, für die Mutual TLS (Origin) aktiviert ist, nicht unterstützt
VPC-Ursprünge: Mutual TLS (Origin) kann nicht mit VPC-Ursprüngen verwendet werden
Trigger für Origin-Anfrage und Origin-Antwort mit Lambda @Edge: Lambda @Edge -Funktionen an den Positionen Origin-Anfrage und Origin-Antwort werden mit Mutual TLS (Origin) nicht unterstützt
Eingebettet POPs: Mutual TLS (Origin) wird für Embedded nicht unterstützt POPs

Aktivieren Sie Mutual TLS (Origin)

Die Konfiguration pro Ursprung ermöglicht es Ihnen, verschiedene Client-Zertifikate für verschiedene Ursprünge innerhalb derselben Distribution anzugeben. Dieser Ansatz bietet maximale Flexibilität, wenn Ihre Ursprünge unterschiedliche Authentifizierungsanforderungen haben.

Für neue Distributionen (Konsole)

Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die CloudFront Konsole unterhttps://console.aws.amazon.com/cloudfront/v4/home.
Wählen Sie Distribution erstellen
Wählen Sie einen Preisplan aus: Wählen Sie entweder Business oder Premium oder Pay As You Go (Mutual TLS (Origin) ist im kostenlosen Tarif nicht verfügbar)
Wähle im Bereich Origin-Einstellungen die Option Origin Type als Andere
Wähle im Abschnitt Origin-Einstellungen die Option Origin-Einstellungen anpassen
Konfiguriere deinen ersten Ursprung (Domainname, Protokoll usw.)
Suchen Sie in der Origin-Konfiguration nach Mutual TLS (Ursprung)
Stellen Sie die Option Gegenseitiges TLS (Ursprung) aktivieren auf Ein
Wählen Sie für Client-Zertifikat Ihr Zertifikat aus AWS Certificate Manager aus
(Optional) Fügen Sie weitere Ursprünge mit ihren eigenen gemeinsamen TLS-Konfigurationen (Ursprung) hinzu
Vervollständigen Sie die verbleibenden Verteilungseinstellungen und wählen Sie Verteilung erstellen

Für bestehende Distributionen (Konsole)

Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die CloudFront Konsole unterhttps://console.aws.amazon.com/cloudfront/v4/home.
Wählen Sie in der Verteilerliste die Distribution aus, die Sie ändern möchten. (Hinweis: Vergewissern Sie sich, dass für Ihren Vertrieb ein Pro-, Premium- oder Pay-As-You-Go-Preismodell gilt. Andernfalls müssen Sie Ihren Preisplan aktualisieren, bevor Sie Mutual TLS (Origin) aktivieren
Wählen Sie den Tab Origins
Wählen Sie den Ursprung aus, den Sie konfigurieren möchten, und wählen Sie Bearbeiten
Suchen Sie in den Origin-Einstellungen nach Mutual TLS (Origin)
Stellen Sie die Option Gegenseitiges TLS (Herkunft) aktivieren auf Ein
Wählen Sie für Client-Zertifikat Ihr Zertifikat aus AWS Certificate Manager aus. (Hinweis: Nur Client-Zertifikate, bei denen die EKU-Eigenschaft (Extended Key Usage) auf „TLS-Client-Authentifizierung“ gesetzt ist, werden aufgelistet)
Wählen Sie Save Changes (Änderungen speichern)
Wiederholen Sie den Vorgang bei Bedarf für weitere Ursprünge

AWS CLI verwenden

Geben Sie für die Konfiguration pro Ursprung die gegenseitigen TLS-Einstellungen (Ursprung) in der Konfiguration jedes Ursprungs an:


{
  "Origins": {
    "Quantity": 2,
    "Items": [
      {
        "Id": "origin-1",
        "DomainName": "api.example.com",
        "CustomOriginConfig": {
          "HTTPSPort": 443,
          "OriginProtocolPolicy": "https-only"
        },
        "OriginMtlsConfig": {
          "ClientCertificateArn": "arn:aws:acm:us-east-1:123456789012:certificate/cert-1"
        }
      },
      {
        "Id": "origin-2",
        "DomainName": "backend.example.com",
        "CustomOriginConfig": {
          "HTTPSPort": 443,
          "OriginProtocolPolicy": "https-only"
        },
        "OriginMtlsConfig": {
          "CertificateArn": "arn:aws:acm:us-east-1:123456789012:certificate/cert-2"
        }
      }
    ]
  }
}

Anmerkung

CloudFront stellt das Client-Zertifikat nicht zur Verfügung, wenn der Server es nicht anfordert, sodass die Verbindung normal weitergeführt werden kann.

Nächste Schritte

Nachdem Sie Mutual TLS (Origin) auf Ihrer CloudFront Distribution aktiviert haben, können Sie Authentifizierungsereignisse mithilfe von CloudFront Zugriffsprotokollen überwachen.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Zertifikatsverwaltung mit AWS Certificate Manager

Verwenden von CloudFront Funktionen mit gegenseitigem TLS (Ursprung)