View a markdown version of this page

Mode validasi tambahan - Amazon CloudFront
Mode opsionalMode passthrough

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mode validasi tambahan

Mode yang diperlukan adalah default untuk TLS CloudFront timbal balik - CloudFront memvalidasi setiap sertifikat klien dan menyangkal koneksi yang gagal. Namun, untuk mendukung kasus penggunaan tambahan - seperti aplikasi yang melayani campuran m TLS-authenticated dan klien yang tidak diautentikasi, atau lingkungan di mana server asal melakukan validasi mTLS sendiri - CloudFront mendukung dua mode tambahan.

Mode opsional dirancang untuk aplikasi dengan populasi klien campuran. Misalnya, portal yang menyajikan konten publik ke browser yang tidak diautentikasi sambil membatasi titik akhir API ke klien yang menampilkan sertifikat yang valid. Atau skenario migrasi di mana Anda secara bertahap mengarahkan klien ke mTL dan perlu mengizinkan koneksi yang diautentikasi dan tidak diautentikasi selama transisi.

Mode passthrough dirancang untuk pelanggan yang server asalnya sudah melakukan validasi mTLS. Misalnya, layanan yang bermigrasi dari proxy terbalik lokal, CDN lain, atau Application Load Balancer yang sudah menangani verifikasi sertifikat. Mode passthrough memungkinkan pelanggan ini untuk menempatkan CloudFront di depan aplikasi mereka tanpa menerapkan kembali logika validasi di tepi.

Mode opsional

Validasi sertifikat klien Mode opsional

CloudFront menawarkan alternatif mode validasi sertifikat klien opsional yang memvalidasi sertifikat klien yang disajikan tetapi memungkinkan akses ke klien yang tidak menunjukkan sertifikat.

Perilaku mode opsional

  • Memberikan koneksi ke klien dengan sertifikat yang valid (sertifikat tidak valid ditolak).

  • Memungkinkan koneksi ke klien tanpa sertifikat.

  • Memungkinkan skenario otentikasi klien campuran melalui distribusi tunggal.

Mode opsional sangat ideal untuk migrasi bertahap ke otentikasi mTLS, mendukung klien dengan sertifikat dan klien tanpa sertifikat, atau mempertahankan kompatibilitas mundur dengan klien lama.

catatan

Dalam mode opsional, Fungsi Koneksi masih dipanggil bahkan ketika klien tidak menunjukkan sertifikat. Hal ini memungkinkan Anda untuk menerapkan logika kustom seperti mencatat alamat IP klien atau menerapkan kebijakan yang berbeda berdasarkan apakah sertifikat disajikan.

Untuk mengkonfigurasi mode opsional (Konsol)

  1. Di pengaturan distribusi Anda, navigasikan ke tab Umum, pilih Edit.

  2. Gulir ke bagian otentikasi bersama Viewer (mTLS) dalam wadah Konektivitas.

  3. Untuk mode validasi sertifikat Klien, pilih Opsional.

  4. Simpan perubahan.

Untuk mengkonfigurasi mode opsional (AWS CLI)

Contoh berikut menunjukkan cara mengkonfigurasi mode opsional:

"ViewerMtlsConfig": {
    "Mode": "optional",
    ...other settings
}

Sesuaikan header sertifikat

Gunakan fungsi pembantu mTLS di CloudFront Fungsi permintaan pemirsa untuk mengganti nama, memformat ulang, atau menggabungkan header sertifikat sebelum mencapai asal Anda. Ini berguna saat bermigrasi dari layanan lain yang menggunakan nama header atau format pengkodean sertifikat yang berbeda.

Mode passthrough

Mode passthrough memungkinkan pelanggan dengan implementasi mTL yang ada di asal mereka untuk digunakan. CloudFront CloudFront mengakhiri koneksi TLS dan meneruskan sertifikat klien ke asal Anda sebagai header HTTP. Asal Anda melakukan semua validasi sertifikat — termasuk verifikasi rantai, pemeriksaan pencabutan, dan penegakan kebijakan khusus.

Cara kerja mode passthrough

  1. Klien terhubung ke CloudFront dan menyajikan sertifikat klien selama jabat tangan TLS.

  2. CloudFront menyelesaikan jabat tangan TLS tanpa memvalidasi sertifikat terhadap toko kepercayaan.

  3. CloudFront menambahkan sertifikat klien dan rantai sertifikat sebagai header HTTP pada permintaan.

  4. Permintaan diteruskan ke asal Anda. Tidak ada konten yang di-cache.

  5. Asal Anda memvalidasi sertifikat dan memproses permintaan.

Klien juga dapat terhubung tanpa menunjukkan sertifikat. Fungsi asal atau Koneksi Anda menangani skenario sertifikat kosong.

catatan

Dalam mode passthrough, Fungsi Koneksi masih dipanggil bahkan ketika klien tidak menunjukkan sertifikat. Hal ini memungkinkan Anda untuk menerapkan logika kustom seperti mencatat alamat IP klien atau menerapkan kebijakan yang berbeda berdasarkan apakah sertifikat disajikan.

Persyaratan konfigurasi

  • Tidak ada toko kepercayaan - Distribusi harus memiliki asosiasi toko tanpa kepercayaan.

  • Caching dinonaktifkan - Semua perilaku cache harus menggunakan kebijakan CachingDisabled cache terkelola.

  • Origin Shield dilarang — Origin Shield tidak dapat diaktifkan.

  • Lambda @Edge dilarang — Asosiasi fungsi Lambda @Edge tidak diizinkan.

  • Kebijakan permintaan asal diperlukan — Anda harus mengizinkan daftar Client-Cert dan Client-Cert-Chain header dalam kebijakan permintaan asal Anda agar asal dapat menerimanya.

  • Certificate-chain-depth— CloudFront memungkinkan kedalaman maksimum 4 untuk rantai sertifikat klien untuk diteruskan ke asal.

Aktifkan mode passthrough

Konsol

  1. Perbarui semua perilaku cache untuk menggunakan kebijakan CachingDisabled cache terkelola.

  2. Buka CloudFront konsol dan pilih distribusi Anda.

  3. Pilih tab Umum, lalu pilih Edit di bawah Pengaturan.

  4. Di bawah Authentication mutual Viewer (mTLS), pilih Passthrough.

  5. Pilih Simpan perubahan.

AWS CLI

Pastikan semua perilaku cache mereferensikan CachingDisabled kebijakan terkelola, lalu perbarui konfigurasi distribusi:

{
  "ViewerMtlsConfig": {
    "Mode": "passthrough"
  }
}

Header diteruskan ke asal

CloudFront menambahkan header berikut ke permintaan yang dikirim ke asal Anda:

  • Client-Cert— Sertifikat entitas akhir (daun) yang disajikan oleh klien, dikodekan base64.

  • Client-Cert-Chain— Rantai sertifikat (tidak termasuk daun), sebagai daftar bidang terstruktur. Setiap sertifikat dikodekan base64. Client-Cert-Chainadalah header tipe List. Ini mungkin muncul beberapa kali dalam permintaan. Menggabungkan semua nilai mempertahankan urutan rantai asli. Client-Cert-Chaindihilangkan ketika klien hanya menyajikan satu sertifikat.

CloudFront menjatuhkan semua yang masuk Client-Cert atau Client-Cert-Chain header dari permintaan klien sebelum menambahkan data sertifikat yang sebenarnya. Ini mencegah spoofing header.

Sesuaikan header sertifikat

Gunakan fungsi pembantu mTLS di CloudFront Fungsi permintaan pemirsa untuk mengganti nama, memformat ulang, atau menggabungkan header sertifikat sebelum mencapai asal Anda. Ini berguna saat bermigrasi dari layanan lain yang menggunakan nama header atau format pengkodean sertifikat yang berbeda.