Modo opcional de validação de certificados de cliente Anúncio da autoridade de certificação Tratamento de expiração de certificados Próximas etapas

Definir configurações adicionais

Após a habilitação da autenticação TLS mútua básica, é possível definir configurações adicionais para personalizar o comportamento da autenticação para casos de uso e requisitos específicos.

Modo opcional de validação de certificados de cliente

O CloudFront oferece um modo opcional de validação de certificados de cliente que valida os certificados de cliente que são apresentados, mas permite o acesso aos clientes que não apresentam certificados.

Comportamento do modo opcional

Concede conexão a clientes com certificados válidos (certificados inválidos são negados).
Permite a conexão com clientes sem certificados.
Permite cenários variados de autenticação de clientes por meio de uma única distribuição.

O modo opcional é ideal em migrações graduais para a autenticação mTLS, pois permite clientes com certificados e clientes sem certificados ou mantém a compatibilidade com versões anteriores de clientes legados.

nota

No modo opcional, as funções de conexão são invocadas mesmo quando os clientes não apresentam certificados. Isso permite que você implemente uma lógica personalizada, como registrar em log o endereço IP dos clientes ou aplicar políticas diferentes com base na apresentação ou não de certificados.

Como configurar o modo opcional (console)

Nas configurações de distribuição, acesse a guia Geral e escolha Editar.
Role até a seção Autenticação mútua (mTLS) de visualizador no contêiner Conectividade.
Em Modo de validação de certificados de cliente, selecione Opcional.
Salve as alterações.

Como configurar o modo opcional (AWS CLI)

O seguinte exemplo mostra como configurar um o modo opcional:



"ViewerMtlsConfig": {
   "Mode": "optional",
   ...other settings
}

Anúncio da autoridade de certificação

O campo AdvertiseTrustStoreCaNames controla se o CloudFront envia a lista de nomes de CA confiáveis aos clientes durante o handshake do TLS, ajudando os clientes a selecionar o certificado apropriado.

Como configurar o anúncio da CA (console)

Nas configurações de distribuição, acesse a guia Geral e escolha Editar.
Role até a seção Autenticação mútua (mTLS) de visualizador no contêiner Conectividade.
Marque ou desmarque a caixa de seleção Anunciar nomes de CA do armazenamento confiável.
Escolha Salvar alterações.

Como configurar o anúncio da CA (AWS CLI)

O seguinte exemplo mostra como habilitar o anúncio da CA:


"ViewerMtlsConfig": {
   "Mode": "required", // or "optional"
   "TrustStoreConfig": {
      "AdvertiseTrustStoreCaNames": true,
      ...other settings
   } 
}

Tratamento de expiração de certificados

A propriedade IgnoreCertificateExpiry determina como o CloudFront responde a certificados de cliente expirados. Por padrão, o CloudFront rejeita certificados de clientes expirados, mas é possível configurá-lo para aceitá-los quando necessário. Normalmente, essa opção é habilitada para dispositivos com certificados expirados que não podem ser atualizados imediatamente.

Como configurar o tratamento de expiração de certificados (console)

Nas configurações de distribuição, acesse a guia Geral e escolha Editar.
Role até a seção Autenticação mútua (mTLS) de visualizador no contêiner Conectividade.
Marque ou desmarque a caixa de seleção Ignorar a data de expiração do certificado.
Escolha Salvar alterações.

Como configurar o tratamento de expiração de certificados (AWS CLI)

O seguinte exemplo mostra como ignorar a expiração de certificados:


"ViewerMtlsConfig": {
  "Mode": "required", // or "optional"
  "TrustStoreConfig": {
     "IgnoreCertificateExpiry": false,
     ...other settings
  }
}

nota

IgnoreCertificateExpiry aplica-se somente à data de validade dos certificados. Todas as outras verificações de validação de certificados ainda se aplicam (como cadeia de confiança e validação de assinatura).

Próximas etapas

Depois de definir as configurações adicionais, você pode configurar o encaminhamento de cabeçalhos transmitir as informações do certificado às suas origens, implementar a revogação do certificado usando as funções de conexão e o KeyValueStore e habilitar os logs de conexão para monitoramento. Para ver detalhes sobre como encaminhar as informações do certificado às origens, consulte Encaminhar cabeçalhos às origens.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Associar uma função de conexão do CloudFront

Cabeçalhos mTLS de visualizador para políticas de cache e encaminhados à origem