Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Asal TLS timbal balik dengan CloudFront
Mutual TLS Authentication (Mutual Transport Layer Security Authentication — mTLS) adalah protokol keamanan yang memperluas otentikasi TLS standar dengan memerlukan otentikasi berbasis sertifikat dua arah, di mana klien dan server harus membuktikan identitas mereka sebelum membuat koneksi yang aman.
## Penampil mTL vs mTL Asal
Otentikasi timbal balik (mTL) dapat diaktifkan antara pemirsa dan CloudFront distribusi Anda (mTL penampil) and/or juga antara CloudFront distribusi Anda dan asal (mTL asal). Dokumentasi ini berkaitan dengan konfigurasi mTLS asal. Untuk konfigurasi mTLS penampil lihat:[Otentikasi TLS timbal balik dengan CloudFront (Viewer mTLS)Asal TLS timbal balik dengan CloudFront](mtls-authentication.md).
Origin mTLS memungkinkan CloudFront untuk mengautentikasi dirinya ke server asal Anda menggunakan sertifikat klien. Dengan mTL asal, Anda dapat memastikan bahwa hanya CloudFront distribusi resmi Anda yang dapat membuat koneksi dengan server aplikasi Anda, membantu melindungi dari upaya akses yang tidak sah.
**catatan**
Dalam koneksi mTLS asal, CloudFront bertindak sebagai klien dan menyajikan sertifikat kliennya ke server asal Anda selama jabat tangan TLS. CloudFront tidak melakukan validasi validitas atau status pencabutan sertifikat klien — ini adalah tanggung jawab server asal Anda. Infrastruktur asal Anda harus dikonfigurasi untuk memvalidasi sertifikat klien terhadap trust store, memeriksa kedaluwarsa sertifikat, dan melakukan pemeriksaan pencabutan (seperti validasi CRL atau OCSP) sesuai dengan persyaratan keamanan Anda. CloudFrontPeran terbatas pada penyajian sertifikat; semua logika validasi sertifikat dan kebijakan keamanan diberlakukan oleh server asal Anda.
## Cara kerjanya
Dalam jabat tangan TLS standar antara CloudFront dan asal, hanya server asal yang menyajikan sertifikat untuk membuktikan identitasnya. CloudFront Dengan mTL asal, proses otentikasi menjadi dua arah. Saat CloudFront mencoba terhubung ke server asal Anda, berikan CloudFront sertifikat klien selama jabat tangan TLS. Server asal Anda memvalidasi sertifikat ini terhadap trust store sebelum membuat koneksi aman.
## Kasus penggunaan
Origin mTLS membahas beberapa skenario keamanan kritis di mana metode otentikasi tradisional membuat overhead operasional:
+ **Keamanan hybrid dan multi-cloud** - Anda dapat mengamankan koneksi antara CloudFront dan asal-usul yang dihosting di luar AWS atau asal publik. AWS Ini menghilangkan kebutuhan untuk mengelola daftar izin IP atau solusi header khusus, menyediakan otentikasi berbasis sertifikat yang konsisten di seluruh AWS, pusat data lokal, dan penyedia pihak ketiga. Perusahaan media, pengecer, dan perusahaan yang mengoperasikan infrastruktur terdistribusi mendapat manfaat dari kontrol keamanan standar di seluruh infrastruktur mereka.
+ **B2B API dan keamanan backend** - Anda dapat melindungi backend APIs dan layanan mikro Anda dari upaya akses langsung sambil mempertahankan manfaat kinerja. CloudFront Platform SaaS, sistem pemrosesan pembayaran, dan aplikasi perusahaan dengan persyaratan otentikasi yang ketat dapat memverifikasi bahwa permintaan API hanya berasal dari CloudFront distribusi resmi, mencegah man-in-the-middle serangan dan upaya akses yang tidak sah.
## Penting: Persyaratan Server Asal
Origin mTLS mengharuskan server asal Anda dikonfigurasi untuk mendukung otentikasi TLS timbal balik. Infrastruktur asal Anda harus mampu:
+ Meminta dan memvalidasi sertifikat klien selama jabat tangan TLS
+ Mempertahankan toko kepercayaan dengan sertifikat Otoritas Sertifikat yang mengeluarkan sertifikat CloudFront klien
+ Pencatatan dan pemantauan peristiwa koneksi TLS timbal balik
+ Mengelola kebijakan validasi sertifikat dan menangani kegagalan otentikasi
CloudFront menangani presentasi sertifikat sisi klien, tetapi server asal Anda bertanggung jawab untuk memvalidasi sertifikat ini dan mengelola koneksi TLS bersama. Pastikan infrastruktur asal Anda dikonfigurasi dengan benar sebelum mengaktifkan mTL asal. CloudFront
## Memulai
Untuk mengimplementasikan mTL asal CloudFront, Anda harus mengimpor sertifikat klien di AWS Certificate Manager, mengonfigurasi server asal Anda agar memerlukan TLS bersama, dan mengaktifkan mTL asal pada distribusi Anda. CloudFront Bagian berikut memberikan step-by-step instruksi untuk setiap tugas konfigurasi.
**Topics**
+ [Penampil mTL vs mTL Asal](#viewer-mtls-vs-origin-mtls)
+ [Cara kerjanya](#how-origin-mtls-works)
+ [Kasus penggunaan](#origin-mtls-use-cases)
+ [Penting: Persyaratan Server Asal](#important-origin-server-requirements)
+ [Memulai](#how-origin-mtls-getting-started)
+ [Manajemen sertifikat dengan AWS Certificate Manager](origin-certificate-management-certificate-manager.md)
+ [Aktifkan TLS timbal balik asal untuk distribusi CloudFront](origin-enable-mtls-distributions.md)
+ [Menggunakan CloudFront Fungsi dengan TLS timbal balik asal](origin-mtls-cloudfront-functions.md)
# Manajemen sertifikat dengan AWS Certificate Manager
[AWS Certificate Manager (ACM)](https://aws.amazon.com/certificate-manager/) menyimpan sertifikat klien yang CloudFront ditampilkan ke server asal Anda selama otentikasi TLS timbal balik asal.
## Dukungan Otoritas Sertifikat
CloudFront mTL asal memerlukan sertifikat klien dengan Extended Key Usage (EKU) untuk Otentikasi Klien TLS. Karena persyaratan ini, Anda harus mengeluarkan sertifikat dari Otoritas Sertifikat Anda dan mengimpornya ke AWS Certificate Manager. Fitur penyediaan dan pembaruan sertifikat otomatis ACM tidak tersedia untuk sertifikat klien mTLS asal. CloudFront mTL asal mendukung sertifikat klien dari dua sumber:
+ **AWS Otoritas Sertifikat Pribadi:** Anda dapat menerbitkan sertifikat dari CA AWS Pribadi menggunakan templat sertifikat yang menyertakan Otentikasi Klien TLS di bidang Penggunaan Kunci yang Diperpanjang (seperti EndEntityClientAuthCertificate templat). Setelah mengeluarkan sertifikat dari AWS Private CA, Anda harus mengimpornya ke ACM di Wilayah AS Timur (Virginia N.) (us-east-1). Pendekatan ini memberikan manfaat keamanan dari AWS Private CA sekaligus memberi Anda kendali atas manajemen siklus hidup sertifikat.
+ **Otoritas Sertifikat Pribadi Pihak Ketiga:** Anda juga dapat menerbitkan sertifikat dari infrastruktur Otoritas Sertifikat pribadi Anda yang ada dan mengimpornya ke ACM. Ini memungkinkan Anda untuk mempertahankan proses manajemen sertifikat Anda saat ini sambil memanfaatkan kemampuan CloudFront mTLS asal. Sertifikat harus menyertakan Otentikasi Klien TLS di bidang Penggunaan Kunci Diperpanjang dan harus dalam format PEM dengan sertifikat, kunci pribadi, dan rantai sertifikat.
**penting**
Untuk CA AWS Pribadi dan pihak ketiga CAs, Anda bertanggung jawab untuk memantau tanggal kedaluwarsa sertifikat dan mengimpor sertifikat yang diperbarui ke ACM sebelum kedaluwarsa. Fitur perpanjangan otomatis ACM tidak berlaku untuk sertifikat impor yang digunakan untuk mTL asal.
## Persyaratan dan spesifikasi sertifikat
### Persyaratan sertifikat klien
+ **Format: Format** PEM (Privacy Enhanced Mail)
+ **Komponen:** Sertifikat, kunci pribadi, dan rantai sertifikat
+ **Kedalaman rantai sertifikat maksimum:** 3 (sertifikat daun\$1sertifikat perantara\$1sertifikat akar)
+ **Ukuran rantai sertifikat maksimum:** 64 KB
+ **Ukuran sertifikat:** Tidak boleh melebihi 96 KB
+ **Ukuran kunci pribadi maksimum:** 5 KB (pembatasan ACM)
+ **Sertifikat mTLS asal unik maksimum ARNs yang dapat ditambahkan atau dimodifikasi per CloudFront distribusi membuat atau memperbarui panggilan API: 5**
+ **Wilayah:** Sertifikat harus disimpan di ACM di Wilayah AS Timur (Virginia N.) (us-east-1)
### Spesifikasi sertifikat yang didukung
+ **Jenis sertifikat:** X.509v3
+ **Algoritma kunci publik:**
+ RSA: 2048-bit
+ ECDSA: P-256
+ **Algoritma tanda tangan:**
+ SHA256, SHA384, SHA512 dengan RSA
+ SHA256, SHA384, SHA512 dengan ECDSA
+ SHA256, SHA384, SHA512 dengan RSASSA-PSS dengan MGF1
+ **Penggunaan Kunci yang Diperpanjang (wajib):** Sertifikat memerlukan ekstensi Extended Key Usage (EKU) yang disetel ke Otentikasi Klien TLS, memastikannya diotorisasi untuk tujuan mTLS
### Persyaratan sertifikat server
Server asal Anda harus menunjukkan sertifikat dari Otoritas Sertifikat yang dipercaya publik selama jabat tangan TLS bersama. Untuk detail lengkap tentang persyaratan sertifikat server asal, lihat [Persyaratan untuk menggunakan SSL/TLS sertifikat dengan CloudFront](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https-cloudfront-to-custom-origin.html#using-https-cloudfront-to-origin-certificate).
### Meminta atau mengimpor sertifikat
Sebelum mengaktifkan mTL asal, Anda harus memiliki sertifikat klien yang tersedia di ACM.
#### Meminta dan mengimpor sertifikat dari AWS Private CA
Prasyarat:
+ Otoritas Sertifikat AWS Pribadi yang dikonfigurasi di akun Anda
+ Izin untuk menerbitkan sertifikat dari AWS Private CA
+ Izin untuk mengimpor sertifikat ke ACM
+ [Templat sertifikat](https://docs.aws.amazon.com/privateca/latest/userguide/UsingTemplates.html) ARN `Extended key usage:TLS web client authentication` yang sesuai dengan kasus penggunaan Anda
+ Instal OpenSSL AWS , CLI, dan jq (untuk parsing JSON).
##### Untuk meminta sertifikat dari PCA dan impor ke ACM (CLI AWS )
1. Atur ARN CA Pribadi Anda dalam variabel agar lebih mudah digunakan kembali.
```
PCA_ARN="arn:aws:acm-pca:region:account:certificate-authority/12345678..."
```
1. Gunakan OpenSSL untuk menghasilkan kunci pribadi ECDSA P-256 (kurva prime256v1) dan Certificate Signing Request (CSR), memastikan flag -nodes digunakan untuk menjaga kunci pribadi tidak terenkripsi seperti yang diperlukan untuk impor ACM.
```
openssl req -new -newkey ec -pkeyopt ec_paramgen_curve:prime256v1 -nodes \
-keyout private.key \
-out request.csr \
-subj "/CN=client.example.com"
```
1. Kirimkan CSR ke CA AWS Pribadi Anda untuk menerbitkan sertifikat, yang mengembalikan ARN dari sertifikat yang baru diterbitkan.
```
CERT_ARN=$(aws acm-pca issue-certificate \
--certificate-authority-arn "$PCA_ARN" \
--csr fileb://request.csr \
--signing-algorithm "SHA256WITHECDSA" \
--validity Value=365,Type="DAYS" \
--template-arn arn:aws:acm-pca:::template/EndEntityCertificate/V1 \
--query 'CertificateArn' --output text)
```
1. Ambil bundel sertifikat dari AWS PCA menggunakan perintah get-certificate, yang mengembalikan sertifikat daun dan rantai, lalu gunakan jq untuk memisahkannya menjadi file yang berbeda.
```
# Retrieve the full certificate bundle in JSON format
aws acm-pca get-certificate \
--certificate-authority-arn "$PCA_ARN" \
--certificate-arn "$CERT_ARN" \
--output json > full_cert.json
# Split into Leaf and Chain
jq -r '.Certificate' full_cert.json > leaf_cert.pem
jq -r '.CertificateChain' full_cert.json > cert_chain.pem
```
1. Impor kunci pribadi yang tidak terenkripsi, sertifikat daun, dan rantai sertifikat ke AWS ACM, menggunakan protokol fileb://untuk menangani data file biner dengan benar di CLI.
```
aws acm import-certificate \
--certificate fileb://leaf_cert.pem \
--private-key fileb://private.key \
--certificate-chain fileb://cert_chain.pem \
--region us-east-1 \
--query 'CertificateArn' \
--output text
```
#### Impor sertifikat dari CA pihak ketiga
Prasyarat:
+ Sertifikat, kunci pribadi yang tidak terenkripsi, dan rantai sertifikat dari Otoritas Sertifikat Anda dalam format PEM
+ Sertifikat harus menyertakan Penggunaan Kunci yang Diperpanjang untuk Otentikasi Klien TLS
+ Izin untuk mengimpor sertifikat ke ACM
##### Untuk mengimpor sertifikat ke ACM (AWS CLI)
```
aws acm import-certificate \
--certificate fileb://certificate.pem \
--private-key fileb://private-key.pem \
--certificate-chain fileb://certificate-chain.pem \
--region us-east-1 \
--query 'CertificateArn' \
--output text
```
#### Langkah selanjutnya
Setelah memperoleh atau mengimpor sertifikat klien Anda di ACM, Anda dapat mengonfigurasi server asal Anda untuk meminta otentikasi TLS bersama dan mengaktifkan mTL asal pada distribusi Anda. CloudFront Untuk petunjuk tentang mengaktifkan mTL asal CloudFront, lihat bagian selanjutnya “Aktifkan TLS timbal balik asal untuk CloudFront distribusi.”
# Aktifkan TLS timbal balik asal untuk distribusi CloudFront
Setelah mendapatkan sertifikat klien melalui AWS Certificate Manager dan mengonfigurasi server asal Anda untuk meminta TLS bersama, Anda dapat mengaktifkan mTL asal pada distribusi Anda. CloudFront
## Prasyarat dan persyaratan
Sebelum mengaktifkan mTL asal pada CloudFront distribusi, pastikan Anda memiliki:
+ Sertifikat klien yang disimpan di AWS Certificate Manager di Wilayah AS Timur (Virginia N.) (us-east-1)
+ Server asal dikonfigurasi untuk memerlukan otentikasi TLS bersama dan memvalidasi sertifikat klien
+ Server asal yang menyajikan sertifikat dari Otoritas Sertifikat yang dipercaya publik
+ Izin untuk memodifikasi distribusi CloudFront
+ Origin mTLS hanya tersedia pada paket Bisnis, Premium, atau Paket harga Pay as you go.
**catatan**
MTL Asal dapat dikonfigurasi untuk asal kustom (termasuk asal yang dihosting di luar AWS) dan AWS asal yang mendukung TLS timbal balik seperti Application Load Balancer dan API Gateway.
**penting**
CloudFront Fitur-fitur berikut tidak didukung dengan mTL asal:
**lalu lintas gRPC: protokol gRPC** tidak didukung untuk asal dengan mTL asal diaktifkan
**WebSocket koneksi:** WebSocket protokol tidak didukung untuk asal dengan mTL asal diaktifkan
**Asal VPC:** mTL asal tidak dapat digunakan dengan asal VPC
**Permintaan asal dan pemicu respons asal dengan Lambda @Edge:** Fungsi Lambda @Edge dalam permintaan asal dan posisi respons asal tidak didukung dengan mTL asal
**Tertanam POPs:** mTL asal tidak didukung untuk disematkan POPs
## Aktifkan mTL asal
Konfigurasi per asal memungkinkan Anda menentukan sertifikat klien yang berbeda untuk asal yang berbeda dalam distribusi yang sama. Pendekatan ini memberikan fleksibilitas maksimum ketika asal Anda memiliki persyaratan otentikasi yang berbeda.
### Untuk distribusi baru (Konsol)
1. Masuk ke Konsol Manajemen AWS dan buka CloudFront konsol di[https://console.aws.amazon.com/cloudfront/v4/home](https://console.aws.amazon.com/cloudfront/v4/home).
1. Pilih **Buat distribusi**
1. Pilih paket harga: Pilih **Bisnis** atau **Premium** atau **Bayar Saat Anda Pergi** (MTL Asal tidak tersedia pada paket Gratis)
1. Di bagian Pengaturan asal, pilih Jenis Asal sebagai Lainnya
1. Di bagian **Pengaturan asal**, pilih **Sesuaikan pengaturan asal**
1. Konfigurasikan asal pertama Anda (nama domain, protokol, dll.)
1. Dalam konfigurasi asal, temukan **mTL**
1. Alihkan mTLS ke **On**
1. Untuk **sertifikat Klien**, pilih sertifikat Anda dari AWS Certificate Manager
1. (Opsional) Tambahkan asal tambahan dengan konfigurasi mTL asal mereka sendiri
1. Lengkapi pengaturan distribusi yang tersisa dan pilih **Buat distribusi**
### Untuk distribusi yang ada (Konsol)
1. Masuk ke Konsol Manajemen AWS dan buka CloudFront konsol di[https://console.aws.amazon.com/cloudfront/v4/home](https://console.aws.amazon.com/cloudfront/v4/home).
1. Dari daftar distribusi, pilih distribusi yang ingin Anda ubah. (Catatan: Pastikan distribusi Anda menggunakan paket harga **Pro atau Premium atau Pay As You Go**. Jika tidak, Anda harus meningkatkan paket harga Anda sebelum mengaktifkan mTL asal)
1. Pilih tab **Origins**
1. Pilih asal yang ingin Anda konfigurasikan dan pilih **Edit**
1. Di pengaturan asal, temukan **mTL**
1. Alihkan mTLS ke **On**
1. Untuk **sertifikat Klien**, pilih sertifikat Anda dari AWS Certificate Manager. (Catatan: Hanya sertifikat klien dengan properti EKU (Extended Key Usage) yang disetel ke “Otentikasi Klien TLS” yang akan dicantumkan)
1. Pilih **Save changes (Simpan perubahan)**
1. Ulangi untuk asal tambahan sesuai kebutuhan
## Menggunakan AWS CLI
Untuk konfigurasi per asal, tentukan pengaturan mTLS asal dalam konfigurasi masing-masing asal:
```
{
"Origins": {
"Quantity": 2,
"Items": [
{
"Id": "origin-1",
"DomainName": "api.example.com",
"CustomOriginConfig": {
"HTTPSPort": 443,
"OriginProtocolPolicy": "https-only"
},
"OriginMtlsConfig": {
"ClientCertificateArn": "arn:aws:acm:us-east-1:123456789012:certificate/cert-1"
}
},
{
"Id": "origin-2",
"DomainName": "backend.example.com",
"CustomOriginConfig": {
"HTTPSPort": 443,
"OriginProtocolPolicy": "https-only"
},
"OriginMtlsConfig": {
"CertificateArn": "arn:aws:acm:us-east-1:123456789012:certificate/cert-2"
}
}
]
}
}
```
**catatan**
CloudFront tidak akan memberikan sertifikat klien jika server tidak memintanya, memungkinkan koneksi berjalan normal.
## Langkah selanjutnya
Setelah mengaktifkan mTL asal pada CloudFront distribusi Anda, Anda dapat memantau peristiwa otentikasi menggunakan CloudFront log akses.
# Menggunakan CloudFront Fungsi dengan TLS timbal balik asal
CloudFront Fungsi menyediakan komputasi ringan tanpa server di tepi untuk menyesuaikan pengiriman konten. Saat menggunakan TLS timbal balik asal dengan CloudFront Fungsi, ada perilaku dan batasan khusus yang harus diperhatikan mengenai pemilihan dan manipulasi asal.
## Operasi CloudFront Fungsi yang Didukung
CloudFront Fungsi dapat berinteraksi dengan asal-usul berkemampuan MTLS dengan cara berikut:
### updateRequestOrigin()
Fungsi updateRequestOrigin () mendukung modifikasi terbatas saat bekerja dengan asal-usul berkemampuan MTLS:
+ **Beralih di antara asal mTLS asal:** Anda dapat memperbarui permintaan untuk merutekan ke asal berbeda yang menggunakan mTL asal, asalkan kedua asal menggunakan sertifikat **klien yang sama**. Hal ini memungkinkan Anda untuk menerapkan logika routing kustom sambil mempertahankan otentikasi TLS timbal balik.
+ **Menonaktifkan mTL asal: Anda dapat beralih dari asal berkemampuan MTLS** ke asal non-MTLS dengan menyetel fungsi. `mTLSConfig: 'off'` Ini memberikan fleksibilitas untuk menonaktifkan otentikasi TLS timbal balik secara kondisional berdasarkan karakteristik permintaan.
#### Contoh: Beralih antara asal mTLS asal dengan sertifikat yang sama
```
function handler(event) {
var request = event.request;
// Route to different origin based on request path
if (request.uri.startsWith('/api/v2')) {
request.origin = {
domainName: 'api-v2.example.com',
customHeaders: {},
// Both origins must use the same certificate
};
}
return request;
}
```
#### Contoh: Menonaktifkan mTL asal secara kondisional
```
function handler(event) {
var request = event.request;
// Disable mTLS for specific paths
if (request.uri.startsWith('/public')) {
request.origin = {
domainName: 'public-origin.example.com',
customHeaders: {},
mTLSConfig: 'off'
};
}
return request;
}
```
## Operasi CloudFront Fungsi Tidak Didukung
Operasi CloudFront Fungsi berikut tidak mendukung asal berkemampuan MTLS pada ketersediaan umum:
### selectRequestOriginById()
`selectRequestOriginById()`Fungsi tidak dapat memilih asal yang mengaktifkan mTL asal. Mencoba memilih asal berkemampuan MTLS menggunakan fungsi ini akan menghasilkan kesalahan validasi.
Jika kasus penggunaan Anda memerlukan pemilihan asal dinamis dengan mTL asal, gunakan `updateRequestOrigin()` sebagai gantinya, memastikan semua asal target menggunakan sertifikat klien yang sama.
### createRequestOriginKelompok ()
`createRequestOriginGroup()`Fungsi ini tidak mendukung pembuatan grup asal yang menyertakan asal yang mendukung MTLS. Grup asal dengan asal mTLS asal tidak dapat dibuat secara dinamis melalui CloudFront Fungsi.
Jika Anda memerlukan kemampuan failover asal dengan mTL asal, konfigurasikan grup asal secara langsung di setelan CloudFront distribusi Anda daripada membuatnya secara dinamis dalam fungsi.