本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
設定其他設定
啟用基本交互 TLS 身分驗證後,您可以設定其他設定來自訂特定使用案例和需求的身分驗證行為。
用戶端憑證驗證選用模式
CloudFront 提供替代的選用用戶端憑證驗證模式,可驗證呈現的用戶端憑證,但允許存取不存在憑證的用戶端。
選用模式行為
-
授予具有有效憑證的用戶端連線 (拒絕無效的憑證)。
-
允許在沒有憑證的情況下連線至用戶端
-
允許透過單一分佈的混合用戶端身分驗證案例。
選用模式非常適合逐步遷移至 mTLS 身分驗證、支援具有憑證的用戶端和沒有憑證的用戶端,或與舊版用戶端保持回溯相容性。
注意
在選用模式中,即使用戶端不存在憑證,連線函數仍會被叫用。這可讓您實作自訂邏輯,例如記錄用戶端 IP 地址,或根據是否顯示憑證套用不同的政策。
設定選用模式 (主控台)
-
在您的分佈設定中,導覽至一般索引標籤,選擇編輯。
-
捲動至連線容器中的檢視器交互身分驗證 (mTLS) 區段。
-
針對用戶端憑證驗證模式,選取選用。
-
儲存變更。
設定選用模式 (AWS CLI)
下列範例示範如何設定選用模式:
"ViewerMtlsConfig": { "Mode": "optional", ...other settings }
憑證授權單位公告
AdvertiseTrustStoreCaNames 欄位控制 CloudFront 在 TLS 交握期間是否將信任的 CA 名稱清單傳送給用戶端,協助用戶端選取適當的憑證。
設定 CA 公告 (主控台)
-
在您的分佈設定中,導覽至一般索引標籤,選擇編輯。
-
捲動至連線容器中的檢視器交互身分驗證 (mTLS) 區段。
-
選取或取消選取公告信任存放區 CA 名稱核取方塊。
-
選擇儲存變更。
設定 CA 公告 (AWS CLI)
下列範例示範如何啟用 CA 公告:
"ViewerMtlsConfig": { "Mode": "required", // or "optional" "TrustStoreConfig": { "AdvertiseTrustStoreCaNames": true, ...other settings } }
憑證過期處理
IgnoreCertificateExpiry 屬性會決定 CloudFront 如何回應過期的用戶端憑證。根據預設,CloudFront 會拒絕過期的用戶端憑證,但您可以視需要將其設定為接受憑證。對於憑證過期且無法立即更新的裝置,通常會啟用此功能。
設定憑證過期處理 (主控台)
-
在您的分佈設定中,導覽至一般索引標籤,選擇編輯。
-
捲動至連線容器的檢視器交互身分驗證 (mTLS) 區段。
-
選取或取消選取忽略憑證過期日期核取方塊。
-
選擇儲存變更。
設定憑證過期處理 (AWS CLI)
下列範例示範如何忽略憑證過期:
"ViewerMtlsConfig": { "Mode": "required", // or "optional" "TrustStoreConfig": { "IgnoreCertificateExpiry": false, ...other settings } }
注意
IgnoreCertificateExpiry 僅適用於憑證 有效期限。所有其他憑證驗證檢查仍然適用 (信任鏈、簽章驗證)。
後續步驟
設定其他設定後,您可以設定標頭轉送,將憑證資訊傳遞至原始伺服器、使用 Connection Functions 和 KeyValueStore 實作憑證撤銷,以及啟用連線日誌以進行監控。如需轉送憑證資訊至原始伺服器的詳細資訊,請參閱轉送標頭至原始伺服器。
