Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Konfiguration zusätzlicher Einstellungen
Nachdem Sie die grundlegende gegenseitige TLS-Authentifizierung aktiviert haben, können Sie zusätzliche Einstellungen konfigurieren, um das Authentifizierungsverhalten an bestimmte Anwendungsfälle und Anforderungen anzupassen.
Werbung durch die Zertifizierungsstelle
Das AdvertiseTrustStoreCaNames Feld steuert, ob die Liste der vertrauenswürdigen Zertifizierungsstellennamen während des TLS-Handshakes an die Clients CloudFront gesendet wird, sodass die Clients das entsprechende Zertifikat auswählen können.
So konfigurieren Sie CA-Werbung (Konsole)
-
Navigieren Sie in Ihren Distributionseinstellungen zur Registerkarte Allgemein und wählen Sie Bearbeiten aus.
-
Scrollen Sie im Connectivity-Container zum Abschnitt Viewer Mutual Authentication (mTLS).
-
Aktivieren oder deaktivieren Sie das Kontrollkästchen Vertrauensspeicher-Zertifizierungsstellennamen ankündigen.
-
Wählen Sie Änderungen speichern aus.
Um CA-Werbung zu konfigurieren (AWS CLI)
Das folgende Beispiel zeigt, wie CA-Werbung aktiviert wird:
"ViewerMtlsConfig": { "Mode": "required", // or "optional" "TrustStoreConfig": { "AdvertiseTrustStoreCaNames": true, ...other settings } }
Behandlung des Ablaufs von Zertifikaten
Die IgnoreCertificateExpiry Eigenschaft bestimmt, wie CloudFront auf abgelaufene Client-Zertifikate reagiert wird. CloudFront Lehnt standardmäßig abgelaufene Clientzertifikate ab, Sie können es jedoch so konfigurieren, dass sie bei Bedarf akzeptiert werden. Dies ist in der Regel für Geräte mit abgelaufenen Zertifikaten aktiviert, die nicht ohne Weiteres aktualisiert werden können.
So konfigurieren Sie die Behandlung von Zertifikatsablaufzeiten (Konsole)
-
Navigieren Sie in Ihren Verteilungseinstellungen zur Registerkarte Allgemein und wählen Sie Bearbeiten aus.
-
Scrollen Sie im Connectivity-Container zum Bereich Viewer Mutual Authentication (mTLS).
-
Aktivieren oder deaktivieren Sie das Kontrollkästchen Ablaufdatum des Zertifikats ignorieren.
-
Wählen Sie Änderungen speichern aus.
Um die Behandlung des Ablaufs von Zertifikaten zu konfigurieren (AWS CLI)
Das folgende Beispiel zeigt, wie der Ablauf eines Zertifikats ignoriert wird:
"ViewerMtlsConfig": { "Mode": "required", // or "optional" "TrustStoreConfig": { "IgnoreCertificateExpiry": false, ...other settings } }
Anmerkung
IgnoreCertificateExpirygilt nur für die Gültigkeitsdaten der Zertifikate. Alle anderen Prüfungen zur Validierung von Zertifikaten gelten weiterhin (Vertrauenskette, Signaturvalidierung).
Nächste Schritte
Nachdem Sie zusätzliche Einstellungen konfiguriert haben, können Sie die Header-Weiterleitung einrichten, um Zertifikatsinformationen an Ihre Ursprünge weiterzuleiten, den Zertifikatswiderruf mithilfe von Verbindungsfunktionen und KeyValueStore implementieren und Verbindungsprotokolle für die Überwachung aktivieren. Einzelheiten zur Weiterleitung von Zertifikatsinformationen an Ursprünge finden Sie unter Header an Ursprünge weiterleiten.