Zeigt die mTLS-Header für Cache-Richtlinien an und leitet sie an den Ursprung weiter - Amazon CloudFront
Header-Weiterleitung konfigurierenÜberlegungen zur Header-VerarbeitungNächste Schritte

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Zeigt die mTLS-Header für Cache-Richtlinien an und leitet sie an den Ursprung weiter

Wenn Sie die gegenseitige TLS-Authentifizierung verwenden, CloudFront können Sie Informationen aus Client-Zertifikaten extrahieren und sie als HTTP-Header an Ihre Ursprünge weiterleiten. Auf diese Weise können Ihre Ursprungsserver auf Zertifikatsdetails zugreifen, ohne eine Logik zur Zertifikatsvalidierung implementieren zu müssen.

Die folgenden Header stehen für die Erstellung von Cache-Verhalten zur Verfügung:

Header-Name Description Beispielwert
CloudFront-Viewer-Cert-Serial-Nummer Hexadezimale Darstellung der Seriennummer des Zertifikats 4a:3f:5c:92:d1:e 8:7 b:6c
CloudFront-Betrachter-Zertifikat-Emittent RFC2253 Zeichenkettendarstellung des definierten Namens (DN) des Emittenten cn=RootCamTLS.com, ou=RootCA, o=MTLS, L=Seattle, ST=Washington, C=US
CloudFront-Viewer-Cert-Betreff RFC2253 Zeichenkettendarstellung des definierten Namens (DN) des Subjekts CN=Client_.com, OU=Client-3, O=MTLS, ST=Washington, C=USA
CloudFront-Zuschauer-Zertifikat-Präsent Entweder 1 (vorhanden) oder 0 (nicht vorhanden), was angibt, ob das Zertifikat vorhanden ist. Dieser Wert ist im Modus Erforderlich immer 1. 1
CloudFront-Viewer-Cert-Sha256 Der Hash des Client-Zertifikats SHA256 01fbf94fef5569753420c349f49adbfd80af5275377816e3ab1fb371b29cb586

Für ursprüngliche Anfragen werden zwei zusätzliche Header bereitgestellt, zusätzlich zu den oben genannten Headern, die für Cache-Verhalten zur Verfügung gestellt wurden:

Header-Name Description Beispielwert
CloudFront-Viewer-Cert-Validität ISO8601-Format des NotBefore- und NotAfter-Datums CloudFront-Gültigkeit des Viewer-Zertifikats: =2023-09-21T 01:50:17 Z; =2024-09-20T 01:50:17 Z NotBefore NotAfter
CloudFront-Viewer-Cert-Pem URL-codiertes PEM-Format des Leaf-Zertifikats CloudFront-Viewer-Cert-Pem: -----BEGIN%20CERTIFICATE-----%0AMIIG<... reduziert... -Viewer-Cert-Pem: -----BEGIN%20CERTIFICATE-----%0AMIIG %0A-----END%20CERTIFICATE-----%0A NmrUlw

Header-Weiterleitung konfigurieren

Konsole

Fügt im Überprüfungsmodus CloudFront automatisch die Header CloudFront-Viewer-Cert -* zu allen Viewer-Anfragen hinzu. Um diese Header an Ihren Ursprung weiterzuleiten:

  1. Wählen Sie auf der Hauptseite der Listenverteilungen Ihre Distribution mit aktivierten Viewer-MTLS aus und wechseln Sie zum Tab Verhalten

  2. Wählen Sie das Cache-Verhalten aus und klicken Sie auf Bearbeiten

  3. Wähle im Abschnitt Origin-Anforderungsrichtlinie die Option Richtlinie erstellen oder wähle eine bestehende Richtlinie aus

  4. Vergewissere dich, dass die folgenden Header in der Richtlinie für Ursprungsanfragen enthalten sind:

    • CloudFront-Viewer-Cert-Seriennummer

    • CloudFront-Betrachter — Zertifikat — Aussteller

    • CloudFront-Viewer-Cert-Betreff

    • CloudFront-Zuschauer-Zertifikat vorhanden

    • Cloudfront-Viewer-Cert-Sha256

    • CloudFront-Viewer-Cert-Gültigkeit

    • CloudFront-Viewer-Cert-Pem

  5. Wählen Sie Erstellen (für neue Richtlinien) oder Änderungen speichern (für bestehende Richtlinien)

  6. Wählen Sie die Richtlinie in Ihrem Cache-Verhalten aus und speichern Sie die Änderungen

AWS CLI verwenden

Das folgende Beispiel zeigt, wie eine Origin-Anforderungsrichtlinie erstellt wird, die mTLS-Header für den Überprüfungsmodus enthält:

aws cloudfront create-origin-request-policy \
  --origin-request-policy-config '{
    "Name": "MTLSHeadersPolicy",
    "HeadersConfig": {
      "HeaderBehavior": "whitelist",
      "Headers": {
        "Quantity": 5,
        "Items": [
          "CloudFront-Viewer-Cert-Serial-Number",
          "CloudFront-Viewer-Cert-Issuer",
          "CloudFront-Viewer-Cert-Subject",
          "CloudFront-Viewer-Cert-Validity",
          "CloudFront-Viewer-Cert-Pem"
        ]
      }
    },
    "CookiesConfig": {
      "CookieBehavior": "none"
    },
    "QueryStringsConfig": {
      "QueryStringBehavior": "none"
    }
  }'

Überlegungen zur Header-Verarbeitung

Beachten Sie bei der Arbeit mit Zertifikatsheadern die folgenden bewährten Methoden:

  • Header-Validierung: Überprüfen Sie als zusätzliche Sicherheitsmaßnahme die Zertifikat-Header-Werte an Ihrem Ursprung

  • Größenbeschränkungen für Header: Die Header des PEM-Zertifikats können groß sein. Stellen Sie sicher, dass Ihr Ursprungsserver damit umgehen kann

  • Überlegungen zum Cache: Die Verwendung von Zertifikatsheadern in Ihrem Cache-Schlüssel erhöht die Cache-Fragmentierung

  • Ursprungsübergreifende Anfragen: Wenn Ihre Anwendung CORS verwendet, müssen Sie sie möglicherweise so konfigurieren, dass die Zertifikatsheader zugelassen werden

Nächste Schritte

Nachdem Sie die Header-Weiterleitung konfiguriert haben, können Sie die Überprüfung des Zertifikatswiderrufs mithilfe der CloudFront Verbindungsfunktionen und implementieren. KeyValueStore Einzelheiten zur Implementierung von Sperrprüfungen finden Sie unterWiderruf mithilfe der CloudFront Verbindungsfunktion und KVS.