ステップ 1: 失効した証明書の KeyValueStore を作成する

mTLS 接続中に Connection Function が確認できる失効した証明書のシリアル番号を保存する KeyValueStore を作成します。

まず、失効した証明書のシリアル番号を JSON 形式で準備します。


{
  "data": [
    {
      "key": "ABC123DEF456",
      "value": ""
    },
    {
      "key": "789XYZ012GHI", 
      "value": ""
    }
  ]
}

この JSON ファイルを S3 バケットにアップロードし、KeyValueStore を作成します。


aws s3 cp revoked-serials.json s3://your-bucket-name/revoked-serials.json
aws cloudfront create-key-value-store \
  --name revoked-serials-kvs \
  --import-source '{
    "SourceType": "S3",
    "SourceARN": "arn:aws:s3:::your-bucket-name/revoked-serials.json"
  }'

KeyValueStore がプロビジョニングを完了するまで待ちます。次の方法でステータスを確認します。


aws cloudfront get-key-value-store --name "revoked-serials-kvs"

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

CloudFront Functions と KeyValueStore を使用して相互 TLS (ビューワー) の証明書失効を実装します

ステップ 2: 失効 Connection Function を作成する