Modo opcional de validación de certificados de cliente Anuncio de la autoridad de certificación Gestión de caducidad de certificados Siguientes pasos

Configuración adicional

Tras habilitar la autenticación TLS mutua básica, puede configurar ajustes adicionales para personalizar el comportamiento de autenticación para casos de uso y requisitos específicos.

Modo opcional de validación de certificados de cliente

CloudFront ofrece un modo de validación de certificados de cliente opcional alternativo que valida los certificados de cliente que se presentan, pero permite el acceso a los clientes que no presentan certificados.

Comportamiento del modo opcional

Otorga la conexión a los clientes con certificados válidos (se deniegan los certificados no válidos).
Permite la conexión a clientes sin certificados.
Permite escenarios de autenticación de clientes mixtos a través de una única distribución.

El modo opcional es ideal para la migración gradual a la autenticación mTLS, para dar soporte a clientes con certificados y clientes sin certificados, o para mantener la compatibilidad con versiones anteriores de clientes antiguos.

nota

En el modo opcional, las funciones de conexión se siguen invocando incluso cuando los clientes no presentan certificados. Esto permite implementar una lógica personalizada, como registrar las direcciones IP de los clientes o aplicar diferentes políticas en función de si se presentan los certificados.

Configuración del modo opcional (consola)

En la configuración de distribución, vaya a la pestaña General y elija Editar.
Desplácese hasta la sección Autenticación mutua (mTLS) del espectador en el contenedor Conectividad.
Para Modo de validación de certificado de cliente, seleccione Opcional.
Guarde los cambios.

Configuración del modo opcional (CLI de AWS)

En el siguiente ejemplo, se muestra cómo configurar el modo opcional:



"ViewerMtlsConfig": {
   "Mode": "optional",
   ...other settings
}

Anuncio de la autoridad de certificación

El campo AdvertiseTrustStoreCaNames controla si CloudFront envía la lista de nombres de autoridad de certificación de confianza a los clientes durante el establecimiento de comunicación de TLS, lo que ayuda a los clientes a seleccionar el certificado adecuado.

Configuración de la publicidad de la autoridad de certificación (consola)

En la configuración de distribución, vaya a la pestaña General y elija Editar.
Desplácese hasta la sección Autenticación mutua (mTLS) del espectador en el contenedor Conectividad.
Active o desactive la casilla de verificación Anunciar nombres de autoridad de certificación de almacenes de confianza.
Seleccione Save changes (Guardar cambios).

Configuración de la publicidad de la autoridad de certificación (CLI de AWS)

En el ejemplo siguiente, se muestra cómo habilitar la publicidad de la autoridad de certificación:


"ViewerMtlsConfig": {
   "Mode": "required", // or "optional"
   "TrustStoreConfig": {
      "AdvertiseTrustStoreCaNames": true,
      ...other settings
   } 
}

Gestión de caducidad de certificados

La propiedad IgnoreCertificateExpiry determina cómo responde CloudFront a los certificados de cliente caducados. De forma predeterminada, CloudFront rechaza los certificados de cliente caducados, pero puede configurarlo para que los acepte cuando sea necesario. Por lo general, esto se habilita para dispositivos con certificados caducados que no se pueden actualizar fácilmente.

Configuración de la gestión de la caducidad de los certificados (consola)

En la configuración de distribución, vaya a la pestaña General y elija Editar.
Desplácese hasta la sección Autenticación mutua (mTLS) del espectador del contenedor Conectividad.
Seleccione o desmarque la casilla de verificación Omitir la fecha de caducidad del certificado.
Seleccione Save changes (Guardar cambios).

Configuración de la gestión de la caducidad de los certificados (CLI de AWS)

En el siguiente ejemplo, se muestra cómo ignorar la caducidad de un certificado:


"ViewerMtlsConfig": {
  "Mode": "required", // or "optional"
  "TrustStoreConfig": {
     "IgnoreCertificateExpiry": false,
     ...other settings
  }
}

nota

IgnoreCertificateExpiry solo se aplica a las fechas de validez de los certificados. Se siguen aplicando todas las demás comprobaciones de validación de certificados (cadena de confianza, validación de firmas).

Siguientes pasos

Tras configurar ajustes adicionales, puede configurar el reenvío de encabezados para transferir la información del certificado a los orígenes, implementar la revocación de certificados mediante funciones de conexión y KeyValueStore, y habilitar los registros de conexión para su supervisión. Para obtener más información sobre cómo reenviar la información de los certificados a los orígenes, consulte Reenviar encabezados a los orígenes.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Asociación de una función de conexión de CloudFront

Encabezados de mTLS del espectador para las políticas de caché y reenvío al origen