Mengkonfigurasi pengaturan tambahan

Setelah mengaktifkan otentikasi TLS timbal balik dasar, Anda dapat mengonfigurasi pengaturan tambahan untuk menyesuaikan perilaku otentikasi untuk kasus dan persyaratan penggunaan tertentu.

Validasi sertifikat klien Mode opsional

CloudFront menawarkan alternatif mode validasi sertifikat klien opsional yang memvalidasi sertifikat klien yang disajikan tetapi memungkinkan akses ke klien yang tidak menunjukkan sertifikat.

Perilaku mode opsional

• Memberikan koneksi ke klien dengan sertifikat yang valid, (sertifikat tidak valid ditolak).

• Memungkinkan koneksi ke klien tanpa sertifikat

• Memungkinkan skenario otentikasi klien campuran melalui distribusi tunggal.

Mode opsional sangat ideal untuk migrasi bertahap ke otentikasi mTLS, mendukung klien dengan sertifikat dan klien tanpa sertifikat, atau mempertahankan kompatibilitas mundur dengan klien lama.

catatan

Dalam mode opsional, Fungsi Koneksi masih dipanggil bahkan ketika klien tidak menunjukkan sertifikat. Hal ini memungkinkan Anda untuk menerapkan logika kustom seperti mencatat alamat IP klien atau menerapkan kebijakan yang berbeda berdasarkan apakah sertifikat disajikan.

Untuk mengkonfigurasi mode opsional (Konsol)

1. Di pengaturan distribusi Anda, navigasikan ke tab Umum, pilih Edit.

2. Gulir ke bagian Authentication Mutual Authentication (mTLS) Viewer dalam wadah Konektivitas.

3. Untuk mode validasi sertifikat Klien, pilih Opsional.

4. Simpan perubahan.

Untuk mengkonfigurasi mode opsional (AWS CLI)

Contoh berikut menunjukkan cara mengkonfigurasi mode opsional:

"ViewerMtlsConfig": {
   "Mode": "optional",
   ...other settings
}
                

Iklan Otoritas Sertifikat

AdvertiseTrustStoreCaNames Bidang mengontrol apakah CloudFront mengirimkan daftar nama CA tepercaya ke klien selama jabat tangan TLS, membantu klien memilih sertifikat yang sesuai.

Untuk mengonfigurasi iklan CA (Konsol)

1. Di pengaturan distribusi Anda, navigasikan ke tab Umum, pilih Edit.

2. Gulir ke bagian Authentication Mutual Authentication (mTLS) Viewer dalam wadah Konektivitas.

3. Pilih atau hapus centang kotak centang Iklankan nama CA toko kepercayaan.

4. Pilih Simpan perubahan.

Untuk mengkonfigurasi iklan CA (AWS CLI)

Contoh berikut menunjukkan cara mengaktifkan iklan CA:

"ViewerMtlsConfig": {
   "Mode": "required", // or "optional"
   "TrustStoreConfig": {
      "AdvertiseTrustStoreCaNames": true,
      ...other settings
   } 
}

Penanganan kedaluwarsa sertifikat

IgnoreCertificateExpiry Properti menentukan bagaimana CloudFront menanggapi sertifikat klien yang kedaluwarsa. Secara default, CloudFront menolak sertifikat klien yang kedaluwarsa, tetapi Anda dapat mengonfigurasinya untuk menerimanya bila perlu. Ini biasanya diaktifkan untuk perangkat dengan sertifikat kedaluwarsa yang tidak dapat diperbarui dengan mudah.

Untuk mengonfigurasi penanganan kedaluwarsa sertifikat (Konsol)

1. Di pengaturan distribusi Anda, navigasikan ke tab Umum, pilih Edit.

2. Gulir ke bagian Viewer mutual authentication (mTLS) dari Connectivity container.

3. Pilih atau batalkan pilihan kotak centang Abaikan tanggal kedaluwarsa sertifikat.

4. Pilih Simpan perubahan.

Untuk mengonfigurasi penanganan kedaluwarsa sertifikat (CLI AWS )

Contoh berikut menunjukkan cara mengabaikan kedaluwarsa sertifikat:

"ViewerMtlsConfig": {
  "Mode": "required", // or "optional"
  "TrustStoreConfig": {
     "IgnoreCertificateExpiry": false,
     ...other settings
  }
}

catatan

IgnoreCertificateExpiryhanya berlaku untuk tanggal validitas sertifikat. Semua pemeriksaan validasi sertifikat lainnya masih berlaku (rantai kepercayaan, validasi tanda tangan).

Langkah selanjutnya

Setelah mengonfigurasi pengaturan tambahan, Anda dapat mengatur penerusan header untuk meneruskan informasi sertifikat ke asal Anda, menerapkan pencabutan sertifikat menggunakan Fungsi Koneksi dan KeyValueStore, dan mengaktifkan log koneksi untuk pemantauan. Untuk detail tentang meneruskan informasi sertifikat ke asal, lihat Teruskan Header ke asal.