Aktifkan TLS timbal balik (asal) untuk distribusi CloudFront - Amazon CloudFront
Prasyarat dan persyaratanAktifkan TLS timbal balik (asal)Menggunakan AWS CLILangkah selanjutnya

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Aktifkan TLS timbal balik (asal) untuk distribusi CloudFront

Setelah mendapatkan sertifikat klien melalui AWS Certificate Manager dan mengonfigurasi server asal Anda untuk meminta TLS bersama, Anda dapat mengaktifkan TLS bersama (asal) pada distribusi Anda. CloudFront

Prasyarat dan persyaratan

Sebelum mengaktifkan TLS timbal balik (asal) pada CloudFront distribusi, pastikan Anda memiliki:

  • Sertifikat klien yang disimpan di AWS Certificate Manager di Wilayah AS Timur (Virginia N.) (us-east-1)

  • Server asal dikonfigurasi untuk memerlukan otentikasi TLS timbal balik dan memvalidasi sertifikat klien

  • Server asal yang menyajikan sertifikat dari Otoritas Sertifikat yang dipercaya publik

  • Izin untuk memodifikasi distribusi CloudFront

  • Mutual TLS (asal) hanya tersedia pada paket Bisnis, Premium atau Bayar saat Anda pergi.

catatan

Mutual TLS (asal) dapat dikonfigurasi untuk asal kustom (termasuk asal yang dihosting di luar AWS) dan AWS asal yang mendukung TLS timbal balik seperti Application Load Balancer dan API Gateway.

penting

CloudFront Fitur-fitur berikut tidak didukung dengan TLS timbal balik (asal):

  • lalu lintas gRPC: protokol gRPC tidak didukung untuk asal dengan TLS timbal balik (asal) diaktifkan

  • WebSocket koneksi: WebSocket protokol tidak didukung untuk asal dengan TLS timbal balik (asal) diaktifkan

  • Asal VPC: Mutual TLS (asal) tidak dapat digunakan dengan asal VPC

  • Permintaan asal dan pemicu respons asal dengan Lambda @Edge: Fungsi Lambda @Edge dalam permintaan asal dan posisi respons asal tidak didukung dengan TLS timbal balik (asal)

  • Tertanam POPs: Mutual TLS (asal) tidak didukung untuk disematkan POPs

Aktifkan TLS timbal balik (asal)

Konfigurasi per asal memungkinkan Anda menentukan sertifikat klien yang berbeda untuk asal yang berbeda dalam distribusi yang sama. Pendekatan ini memberikan fleksibilitas maksimum ketika asal Anda memiliki persyaratan otentikasi yang berbeda.

Untuk distribusi baru (Konsol)

  1. Masuk ke Konsol Manajemen AWS dan buka CloudFront konsol dihttps://console.aws.amazon.com/cloudfront/v4/home.

  2. Pilih Buat distribusi

  3. Pilih paket harga: Pilih Bisnis atau Premium atau Bayar Saat Anda Pergi (Mutual TLS (asal) tidak tersedia di paket Gratis)

  4. Di bagian Pengaturan asal, pilih Jenis Asal sebagai Lainnya

  5. Di bagian Pengaturan asal, pilih Sesuaikan pengaturan asal

  6. Konfigurasikan asal pertama Anda (nama domain, protokol, dll.)

  7. Dalam konfigurasi asal, temukan Mutual TLS (asal)

  8. Alihkan Aktifkan TLS timbal balik (asal) ke Aktif

  9. Untuk sertifikat Klien, pilih sertifikat Anda dari AWS Certificate Manager

  10. (Opsional) Tambahkan asal tambahan dengan konfigurasi TLS (asal) timbal balik mereka sendiri

  11. Lengkapi setelan distribusi yang tersisa dan pilih Buat distribusi

Untuk distribusi yang ada (Konsol)

  1. Masuk ke Konsol Manajemen AWS dan buka CloudFront konsol dihttps://console.aws.amazon.com/cloudfront/v4/home.

  2. Dari daftar distribusi, pilih distribusi yang ingin Anda ubah. (Catatan: Pastikan distribusi Anda menggunakan paket harga Pro atau Premium atau Pay As You Go. Jika tidak, Anda harus meningkatkan paket harga Anda sebelum mengaktifkan TLS bersama (asal))

  3. Pilih tab Origins

  4. Pilih asal yang ingin Anda konfigurasikan dan pilih Edit

  5. Di pengaturan asal, temukan TLS timbal balik (asal)

  6. Alihkan Aktifkan TLS timbal balik (asal) ke Aktif

  7. Untuk sertifikat Klien, pilih sertifikat Anda dari AWS Certificate Manager. (Catatan: Hanya sertifikat klien dengan properti EKU (Extended Key Usage) yang disetel ke “Otentikasi Klien TLS” yang akan dicantumkan)

  8. Pilih Save changes (Simpan perubahan)

  9. Ulangi untuk asal tambahan sesuai kebutuhan

Menggunakan AWS CLI

Untuk konfigurasi per asal, tentukan pengaturan TLS (asal) timbal balik dalam konfigurasi masing-masing asal:

{
  "Origins": {
    "Quantity": 2,
    "Items": [
      {
        "Id": "origin-1",
        "DomainName": "api.example.com",
        "CustomOriginConfig": {
          "HTTPSPort": 443,
          "OriginProtocolPolicy": "https-only"
        },
        "OriginMtlsConfig": {
          "ClientCertificateArn": "arn:aws:acm:us-east-1:123456789012:certificate/cert-1"
        }
      },
      {
        "Id": "origin-2",
        "DomainName": "backend.example.com",
        "CustomOriginConfig": {
          "HTTPSPort": 443,
          "OriginProtocolPolicy": "https-only"
        },
        "OriginMtlsConfig": {
          "CertificateArn": "arn:aws:acm:us-east-1:123456789012:certificate/cert-2"
        }
      }
    ]
  }
}
catatan

CloudFront tidak akan memberikan sertifikat klien jika server tidak memintanya, memungkinkan koneksi berjalan normal.

Langkah selanjutnya

Setelah mengaktifkan TLS bersama (asal) pada CloudFront distribusi Anda, Anda dapat memantau peristiwa otentikasi menggunakan CloudFront log akses.