CloudFront Functions と KeyValueStore を使用して相互 TLS (ビューワー) の証明書失効を実装します

KeyValueStore で CloudFront Connection Functions を使用して、証明書失効チェックを実装できます。これにより、失効した証明書のシリアル番号のリストを維持し、TLS ハンドシェイク中にクライアント証明書とこのリストを確認できます。

証明書失効を実装するには、次のコンポーネントが必要です。

• ビューワー mTLS で設定されたディストリビューション

• 失効した証明書のシリアル番号を含む KeyValueStore

• KeyValueStore にクエリを実行して証明書のステータスを確認する Connection Function

クライアントが接続されると、CloudFront はトラストストアに対して証明書を検証し、Connection Function を実行します。関数は証明書のシリアル番号と KeyValueStore を確認し、接続を許可または拒否します。

トピック

• ステップ 1: 失効した証明書の KeyValueStore を作成する

• ステップ 2: 失効 Connection Function を作成する

• ステップ 3: 失効関数をテストする

• ステップ 4: 関数をディストリビューションに関連付ける

• 高度な失効シナリオ