使用 CloudFront Functions 和 KeyValueStore 为双向 TLS（查看器）实施证书吊销

您可以将 CloudFront 连接函数与 KeyValueStore 结合使用来实施证书吊销检查。这可让您维护已吊销证书序列号列表，并在 TLS 握手过程中根据此列表检查客户端证书。

要实施证书吊销，您需要以下组件：

• 已配置查看器 mTLS 的分配

• 包含已吊销证书序列号的 KeyValueStore

• 一个连接函数，用于查询 KeyValueStore 以检查证书状态

当客户端连接时，CloudFront 会根据信任存储验证证书，然后运行您的连接函数。您的函数会根据 KeyValueStore 检查证书序列号，并允许或拒绝连接。

主题

• 第 1 步：为已吊销证书创建 KeyValueStore

• 第 2 步：创建吊销连接函数

• 第 3 步：测试吊销函数

• 第 4 步：将函数关联到分配

• 高级吊销场景