Requisitos previos y requisitos Habilitación de mTLS de origen Uso de la CLI de AWS Siguientes pasos

Habilitación de TLS mutua de origen para las distribuciones de CloudFront

Tras obtener un certificado de cliente a través de AWS Certificate Manager y configurar el servidor de origen para requerir TLS mutua, puede habilitar mTLS de origen en la distribución de CloudFront.

Requisitos previos y requisitos

Antes de habilitar mTLS de origen en una distribución de CloudFront, asegúrese de que dispone de lo siguiente:

Un certificado de cliente almacenado en AWS Certificate Manager en la región Este de EE. UU. (Norte de Virginia) (us-east-1).
Servidores de origen configurados para requerir la autenticación de TLS mutua y validar los certificados de los clientes.
Servidores de origen que presentan certificados de autoridades de certificación de confianza pública.
Permisos para modificar las distribuciones de CloudFront.
mTLS de origen solo está disponible en los planes Business, Premium o planes de precio de pago por uso.

nota

mTLS de origen se puede configurar para orígenes personalizados (incluidos los orígenes alojados fuera de AWS) y orígenes de AWS que admiten TLS mutua, como Equilibrador de carga de aplicación y API Gateway.

importante

Las siguientes características de CloudFront no son compatibles con mTLS de origen:

Tráfico de gRPC: el protocolo de gRPC no es compatible con mTLS de origen habilitada.
Conexiones WebSocket: el protocolo WebSocket no es compatible con orígenes con mTLS de origen habilitada.
Orígenes de VPC: mTLS de origen no se puede usar con orígenes de VPC.
Desencadenadores de solicitud de origen y respuesta de origen con Lambda@Edge: las funciones de Lambda@Edge en las posiciones de solicitud de origen y respuesta de origen no son compatibles con mTLS de origen.
POP incrustados: mTLS de origen no es compatible con POP incrustados.

Habilitación de mTLS de origen

La configuración por origen permite especificar distintos certificados de cliente para distintos orígenes dentro de la misma distribución. Este enfoque proporciona la máxima flexibilidad cuando los orígenes tienen diferentes requisitos de autenticación.

Para distribuciones nuevas (consola)

Inicie sesión en la Consola de administración de AWS y abra la consola de CloudFront en https://console.aws.amazon.com/cloudfront/v4/home.
Elija Crear distribución.
Seleccione un plan de precios: elija Business o Premium o Pago por uso (mTLS de origen no está disponible en el plan gratuito).
En la sección de configuración de origen, elija Tipo de origen como otro.
En la sección Configuración de origen, elija Personalizar configuración de origen.
Configure el primer origen (nombre de dominio, protocolo, etc.).
En la configuración de origen, busque mTLS.
Active mTLS.
Para Certificado de cliente, seleccione el certificado de AWS Certificate Manager.
(Opcional) Agregue orígenes adicionales con sus propias configuraciones de mTLS de origen.
Complete el resto de la configuración de distribución y elija Crear distribución.

Para distribuciones existentes (consola)

Inicie sesión en la Consola de administración de AWS y abra la consola de CloudFront en https://console.aws.amazon.com/cloudfront/v4/home.
En la lista de distribución, seleccione la distribución que desee modificar. (Nota: Asegúrese de que la distribución esté en un plan de precios Pro o Premium o Pago por uso. De lo contrario, debe actualizar el plan de precios antes de habilitar mTLS de origen).
Elija la pestaña Orígenes.
Seleccione el origen que quiere configurar y elija Editar.
En la configuración de origen, busque mTLS.
Active mTLS.
Para Certificado de cliente, seleccione el certificado de AWS Certificate Manager. (Nota: Solo se mostrarán los certificados de cliente con la propiedad EKU (Uso ampliado de claves) establecida en “Autenticación de cliente de TLS”)
Elija Guardar cambios.
Repetición de orígenes adicionales según sea necesario

Uso de la CLI de AWS

Para la configuración por origen, especifique los ajustes de mTLS de origen dentro de la configuración de cada origen:


{
  "Origins": {
    "Quantity": 2,
    "Items": [
      {
        "Id": "origin-1",
        "DomainName": "api.example.com",
        "CustomOriginConfig": {
          "HTTPSPort": 443,
          "OriginProtocolPolicy": "https-only"
        },
        "OriginMtlsConfig": {
          "ClientCertificateArn": "arn:aws:acm:us-east-1:123456789012:certificate/cert-1"
        }
      },
      {
        "Id": "origin-2",
        "DomainName": "backend.example.com",
        "CustomOriginConfig": {
          "HTTPSPort": 443,
          "OriginProtocolPolicy": "https-only"
        },
        "OriginMtlsConfig": {
          "CertificateArn": "arn:aws:acm:us-east-1:123456789012:certificate/cert-2"
        }
      }
    ]
  }
}

nota

CloudFront no proporcionará el certificado de cliente si el servidor no lo solicita, lo que permitirá que la conexión continúe con normalidad.

Siguientes pasos

Tras habilitar mTLS de origen en la distribución de CloudFront, puede supervisar los eventos de autenticación mediante los registros de acceso de CloudFront.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Administración de certificados con AWS Certificate Manager

Uso de CloudFront Functions con TLS mutua de origen