Toko kepercayaan dan manajemen sertifikat - Amazon CloudFront
Apa itu toko kepercayaan?Dukungan Otoritas SertifikatPersyaratan dan spesifikasi sertifikatBuat toko kepercayaanMengaitkan toko kepercayaan dengan distribusiKelola toko kepercayaan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Toko kepercayaan dan manajemen sertifikat

Membuat dan mengonfigurasi toko kepercayaan adalah persyaratan wajib untuk menerapkan otentikasi TLS timbal balik dengan. CloudFront Trust store berisi sertifikat Certificate Authority (CA) yang CloudFront digunakan untuk memvalidasi sertifikat klien selama proses otentikasi.

Apa itu toko kepercayaan?

Toko kepercayaan adalah repositori sertifikat CA yang CloudFront digunakan untuk memvalidasi sertifikat klien selama otentikasi TLS bersama. Trust store berisi sertifikat CA root dan intermediate yang membentuk rantai kepercayaan untuk mengautentikasi sertifikat klien.

Saat Anda menerapkan TLS timbal balik CloudFront, toko kepercayaan menentukan Otoritas Sertifikat mana yang Anda percayai untuk menerbitkan sertifikat klien yang valid. CloudFront memvalidasi setiap sertifikat klien terhadap toko kepercayaan Anda selama jabat tangan TLS. Hanya klien yang menyajikan sertifikat yang berantai ke salah satu toko kepercayaan Anda yang CAs akan berhasil diautentikasi.

Trust store CloudFront adalah sumber daya tingkat akun yang dapat Anda kaitkan dengan beberapa distribusi. Hal ini memungkinkan Anda untuk mempertahankan kebijakan validasi sertifikat yang konsisten di seluruh CloudFront penerapan Anda sambil menyederhanakan manajemen sertifikat CA.

Dukungan Otoritas Sertifikat

CloudFront mendukung sertifikat yang dikeluarkan oleh Otoritas Sertifikat AWS Pribadi dan Otoritas Sertifikat swasta pihak ketiga. Fleksibilitas ini memungkinkan Anda untuk menggunakan infrastruktur sertifikat yang ada atau memanfaatkan layanan sertifikat AWS terkelola berdasarkan kebutuhan organisasi Anda.

  • AWS Otoritas Sertifikat Pribadi: Anda dapat menggunakan sertifikat yang dikeluarkan oleh AWS Private CA, yang menyediakan layanan otoritas sertifikat swasta yang dikelola. Integrasi ini menyederhanakan manajemen siklus hidup sertifikat dan menyediakan integrasi tanpa batas dengan layanan lain. AWS

  • Otoritas Sertifikat Pribadi Pihak Ketiga: Anda juga dapat menggunakan sertifikat dari infrastruktur Otoritas Sertifikat pribadi Anda yang ada, termasuk perusahaan CAs atau penyedia sertifikat pihak ketiga lainnya. Hal ini memungkinkan Anda untuk mempertahankan proses manajemen sertifikat Anda saat ini sambil menambahkan CloudFront kemampuan mTLS.

Persyaratan dan spesifikasi sertifikat

Toko kepercayaan memiliki persyaratan khusus untuk sertifikat CA yang dikandungnya:

Persyaratan format sertifikat CA

  • Format: Format PEM (Privacy Enhanced Mail)

  • Batasan konten: Sertifikat harus dilampirkan dalam batas ------ MULAI SERTIFIKAT ------ dan ------ END CERTIFICATE ------

  • Komentar: Harus didahului oleh karakter # dan tidak dapat berisi karakter apa pun

  • Jeda baris: Tidak ada baris kosong yang diizinkan di antara sertifikat

Spesifikasi sertifikat yang didukung

  • Jenis sertifikat: X.509v3

  • Jenis kunci publik:

    • RSA 2048, RSA 4096

    • ECDSA: secp256r1, secp384r1

  • Algoritma tanda tangan:

    • SHA256, SHA384, SHA512 dengan RSA

    • SHA256, SHA384, SHA512 dengan EC

    • SHA256, SHA384, SHA512 dengan RSASSA-PSS dengan MGF1

Contoh format bundel sertifikat

Beberapa sertifikat (dikodekan PEM):

# Root CA Certificate
-----BEGIN CERTIFICATE-----
MIIDXTCCAkWgAwIBAgIJAKoK/OvD/XqiMA0GCSqGSIb3DQEBCwUAMEUxCzAJBgNV
BAYTAkFVMRMwEQYDVQQIDApTb21lLVN0YXRlMSEwHwYDVQQKDBhJbnRlcm5ldCBX
aWRnaXRzIFB0eSBMdGQwHhcNMTcwNzEyMTU0NzQ4WhcNMjcwNzEwMTU0NzQ4WjBF
MQswCQYDVQQGEwJBVTETMBEGA1UECAwKU29tZS1TdGF0ZTEhMB8GA1UECgwYSW50
ZXJuZXQgV2lkZ2l0cyBQdHkgTHRkMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIB
CgKCAQEAuuExKvY1xzHFylsHiuowqpmzs7rEcuuylOuEszpFp+BtXh0ZuEtts9LP
-----END CERTIFICATE-----
# Intermediate CA Certificate
-----BEGIN CERTIFICATE-----
MIIDXTCCAkWgAwIBAgIJAKoK/OvD/XqjMA0GCSqGSIb3DQEBCwUAMEUxCzAJBgNV
BAYTAkFVMRMwEQYDVQQIDApTb21lLVN0YXRlMSEwHwYDVQQKDBhJbnRlcm5ldCBX
aWRnaXRzIFB0eSBMdGQwHhcNMTcwNzEyMTU0NzQ4WhcNMjcwNzEwMTU0NzQ4WjBF
MQswCQYDVQQGEwJBVTETMBEGA1UECAwKU29tZS1TdGF0ZTEhMB8GA1UECgwYSW50
ZXJuZXQgV2lkZ2l0cyBQdHkgTHRkMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIB
CgKCAQEAuuExKvY1xzHFylsHiuowqpmzs7rEcuuylOuEszpFp+BtXh0ZuEtts9LP
-----END CERTIFICATE-----

Buat toko kepercayaan

Sebelum membuat toko kepercayaan, Anda harus mengunggah bundel sertifikat CA Anda dalam format PEM ke bucket Amazon S3. Bundel sertifikat harus berisi semua sertifikat CA root dan perantara tepercaya yang diperlukan untuk memvalidasi sertifikat klien Anda.

Bundel sertifikat CA hanya dibaca sekali dari S3 saat membuat toko kepercayaan. Jika perubahan future dilakukan pada bundel sertifikat CA, maka trust store harus diperbarui secara manual. Tidak ada sinkronisasi yang dipertahankan antara toko kepercayaan dan bundel sertifikat S3 CA.

Prasyarat

  • Paket sertifikat dari Otoritas Sertifikat (CA) yang diunggah ke bucket Amazon S3

  • Izin yang diperlukan untuk membuat sumber daya CloudFront

Untuk membuat toko kepercayaan (Konsol)

  1. Masuk ke Konsol Manajemen AWS dan buka CloudFront konsol dihttps://console.aws.amazon.com/cloudfront/v4/home.

  2. Di panel navigasi, pilih Trust store.

  3. Pilih Buat toko kepercayaan.

  4. Untuk nama toko Trust, masukkan nama untuk toko kepercayaan Anda.

  5. Untuk paket otoritas Sertifikat (CA), masukkan jalur Amazon S3 ke bundel sertifikat CA format PEM Anda.

  6. Pilih Buat toko kepercayaan.

Untuk membuat toko kepercayaan (AWS CLI)

aws cloudfront create-trust-store \
  --name MyTrustStore \
  --certificate-authority-bundle-s3-location Bucket=my-bucket,Key=ca-bundle.pem \
  --tags Items=[{Key=Environment,Value=Production}]

Mengaitkan toko kepercayaan dengan distribusi

Setelah membuat toko kepercayaan, Anda harus mengaitkannya dengan CloudFront distribusi untuk mengaktifkan otentikasi TLS timbal balik.

Prasyarat

  • CloudFront Distribusi yang ada dengan kebijakan protokol penampil khusus HTTP diaktifkan dan HTTP3 dukungan dinonaktifkan.

Untuk mengaitkan toko kepercayaan (Konsol)

Ada dua cara untuk mengaitkan toko kepercayaan di dalam CloudFront konsol: melalui halaman detail toko kepercayaan atau melalui halaman pengaturan distribusi.

Mengaitkan toko kepercayaan melalui halaman detail toko kepercayaan:

  1. Masuk ke Konsol Manajemen AWS dan buka CloudFront konsol dihttps://console.aws.amazon.com/cloudfront/v4/home.

  2. Di panel navigasi, pilih Trust store.

  3. Pilih nama toko kepercayaan yang ingin Anda kaitkan.

  4. Pilih Associate to Distribution.

  5. Konfigurasikan opsi mTLS Viewer yang tersedia:

    • Mode validasi sertifikat klien: Pilih antara mode Diperlukan dan Opsional. Dalam mode wajib, semua klien diharuskan untuk menunjukkan sertifikat. Dalam mode opsional, klien yang menyajikan sertifikat divalidasi, sementara klien yang tidak menunjukkan sertifikat diizinkan mengakses.

    • Iklankan nama CA toko kepercayaan: Pilih apakah akan mengiklankan nama CA di toko kepercayaan Anda kepada klien selama jabat tangan TLS.

    • Abaikan tanggal kedaluwarsa sertifikat: Pilih apakah akan mengizinkan koneksi dengan sertifikat kedaluwarsa (kriteria validasi lainnya masih berlaku).

    • Fungsi Koneksi: Fungsi Koneksi opsional dapat dikaitkan dengan allow/deny koneksi berdasarkan kriteria khusus lainnya.

  6. Pilih satu atau beberapa distribusi untuk dikaitkan dengan toko kepercayaan. Hanya distribusi dengan perilaku cache yang HTTP3 dinonaktifkan dan hanya HTTP yang dapat mendukung mTL Penampil.

  7. Pilih Kaitkan.

Mengaitkan toko kepercayaan melalui halaman pengaturan distribusi:

  1. Masuk ke Konsol Manajemen AWS dan buka CloudFront konsol dihttps://console.aws.amazon.com/cloudfront/v4/home.

  2. Pilih distribusi yang ingin Anda kaitkan

  3. Di bawah tab Umum, di dalam wadah Pengaturan, pilih Edit di sudut kanan atas

  4. Gulir ke bawah ke bagian bawah halaman, di dalam wadah Konektivitas, aktifkan sakelar Viewer mTLS

  5. Konfigurasikan opsi mTLS Viewer yang tersedia:

    • Mode validasi sertifikat klien: Pilih antara mode Diperlukan dan Opsional. Dalam mode wajib, semua klien diharuskan untuk menunjukkan sertifikat. Dalam mode opsional, klien yang menyajikan sertifikat divalidasi, sementara klien yang tidak menunjukkan sertifikat diizinkan mengakses.

    • Iklankan nama CA toko kepercayaan: Pilih apakah akan mengiklankan nama CA di toko kepercayaan Anda kepada klien selama jabat tangan TLS.

    • Abaikan tanggal kedaluwarsa sertifikat: Pilih apakah akan mengizinkan koneksi dengan sertifikat kedaluwarsa (kriteria validasi lainnya masih berlaku).

    • Fungsi Koneksi: Fungsi Koneksi opsional dapat dikaitkan dengan allow/deny koneksi berdasarkan kriteria khusus lainnya.

  6. Pilih Simpan perubahan di pojok kanan bawah.

Untuk mengaitkan toko kepercayaan (AWS CLI)

Toko kepercayaan dapat dikaitkan dengan distribusi melalui. DistributionConfig ViewerMtlsConfig properti. Ini berarti pertama-tama kita perlu mengambil konfigurasi distribusi dan kemudian memberikan permintaan ViewerMtlsConfig berikutnya UpdateDistribution .

// First fetch the distribution
aws cloudfront get-distribution {DISTRIBUTION_ID}

// Update the distribution config, for example:
Distribution config, file://distConf.json: 
{
  ...other fields,
  ViewerMtlsConfig: {
    Mode: 'required',
    TrustStoreConfig: {
        AdvertiseTrustStoreCaNames: false,
        IgnoreCertificateExpiry: true,
        TrustStoreId: {TRUST_STORE_ID}
    }
  }
}

aws cloudfront update-distribution \
   --id {DISTRIBUTION_ID} \
   --if-match {ETAG} \
   --distribution-config file://distConf.json

Kelola toko kepercayaan

Lihat detail toko kepercayaan

  1. Masuk ke Konsol Manajemen AWS dan buka CloudFront konsol dihttps://console.aws.amazon.com/cloudfront/v4/home.

  2. Di panel navigasi, pilih Trust store.

  3. Pilih nama toko kepercayaan untuk melihat halaman detailnya.

Halaman detail menunjukkan:

  • Nama dan ID toko kepercayaan

  • Jumlah sertifikat CA

  • Tanggal pembuatan dan tanggal modifikasi terakhir

  • Distribusi terkait

  • Tag

Ubah toko kepercayaan

Untuk mengganti bundel sertifikat CA:

  1. Masuk ke Konsol Manajemen AWS dan buka CloudFront konsol dihttps://console.aws.amazon.com/cloudfront/v4/home.

  2. Di panel navigasi, pilih Trust store.

  3. Pilih nama toko kepercayaan.

  4. Pilih Tindakan, lalu Edit.

  5. Untuk bundel otoritas Sertifikat (CA), masukkan lokasi Amazon S3 dari file PEM bundel CA yang diperbarui.

  6. Pilih Perbarui toko kepercayaan.

Hapus toko kepercayaan

Prasyarat: Anda harus terlebih dahulu memisahkan toko kepercayaan dari semua distribusi. CloudFront

  1. Masuk ke Konsol Manajemen AWS dan buka CloudFront konsol dihttps://console.aws.amazon.com/cloudfront/v4/home.

  2. Di panel navigasi, pilih Trust store.

  3. Pilih nama toko kepercayaan.

  4. Pilih Hapus toko kepercayaan.

  5. Pilih Hapus untuk mengonfirmasi.

Langkah selanjutnya

Setelah membuat dan mengaitkan toko kepercayaan Anda dengan CloudFront distribusi, Anda dapat melanjutkan untuk mengaktifkan otentikasi TLS timbal balik pada distribusi Anda dan mengonfigurasi pengaturan tambahan seperti meneruskan header sertifikat ke asal Anda. Untuk petunjuk terperinci tentang mengaktifkan MTL pada distribusi Anda, lihat. Aktifkan TLS timbal balik untuk distribusi CloudFront