View a markdown version of this page

Configurazione di impostazioni aggiuntive - Amazon CloudFront
Pubblicità dell'Autorità di CertificazioneGestione della scadenza dei certificatiFasi successive

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione di impostazioni aggiuntive

Dopo aver abilitato l'autenticazione TLS reciproca di base, è possibile configurare impostazioni aggiuntive per personalizzare il comportamento di autenticazione per casi d'uso e requisiti specifici.

Pubblicità dell'Autorità di Certificazione

Il AdvertiseTrustStoreCaNames campo controlla se CloudFront inviare l'elenco di nomi CA affidabili ai client durante l'handshake TLS, aiutandoli a selezionare il certificato appropriato.

Per configurare CA advertising (Console)

  1. Nelle impostazioni di distribuzione, vai alla scheda Generale, scegli Modifica.

  2. Scorri fino alla sezione Viewer Mutual Authentication (mTLS) all'interno del contenitore Connectivity.

  3. Seleziona o deseleziona la casella di controllo Advertise trust store CA names.

  4. Scegli Save changes (Salva modifiche).

Per configurare la pubblicità di CA (AWS CLI)

L'esempio seguente mostra come abilitare la pubblicità CA:

"ViewerMtlsConfig": {
   "Mode": "required", // or "optional"
   "TrustStoreConfig": {
      "AdvertiseTrustStoreCaNames": true,
      ...other settings
   } 
}

Gestione della scadenza dei certificati

La IgnoreCertificateExpiry proprietà determina la modalità di CloudFront risposta ai certificati client scaduti. Per impostazione predefinita, CloudFront rifiuta i certificati client scaduti, ma è possibile configurarlo per accettarli quando necessario. In genere è abilitato per i dispositivi con certificati scaduti che non possono essere aggiornati prontamente.

Per configurare la gestione della scadenza dei certificati (Console)

  1. Nelle impostazioni di distribuzione, vai alla scheda Generale, scegli Modifica.

  2. Scorri fino alla sezione Viewer Mutual Authentication (mTLS) del contenitore Connectivity.

  3. Seleziona o deseleziona la casella di controllo Ignora la data di scadenza del certificato.

  4. Scegli Save changes (Salva modifiche).

Per configurare la gestione della scadenza dei certificati (AWS CLI)

L'esempio seguente mostra come ignorare la scadenza del certificato:

"ViewerMtlsConfig": {
  "Mode": "required", // or "optional"
  "TrustStoreConfig": {
     "IgnoreCertificateExpiry": false,
     ...other settings
  }
}
Nota

IgnoreCertificateExpirysi applica solo alle date di validità dei certificati. Tutti gli altri controlli di convalida dei certificati sono ancora validi (catena di fiducia, convalida della firma).

Fasi successive

Dopo aver configurato impostazioni aggiuntive, è possibile configurare l'inoltro delle intestazioni per trasmettere le informazioni del certificato alle origini, implementare la revoca dei certificati utilizzando Connection Functions e KeyValueStore abilitare i log di connessione per il monitoraggio. Per i dettagli sull'inoltro delle informazioni sui certificati alle origini, consulta Forward Headers to origin.