Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Aktivieren Sie Mutual Origin TLS für Distributionen CloudFront
Nachdem Sie über Certificate Manager ein AWS Client-Zertifikat erhalten und Ihren Ursprungsserver so konfiguriert haben, dass er gegenseitiges TLS erfordert, können Sie Original-MTLS auf Ihrer CloudFront Distribution aktivieren.
## Voraussetzungen und Anforderungen
Bevor Sie Origin-mTLS für eine CloudFront Distribution aktivieren, stellen Sie sicher, dass Sie über Folgendes verfügen:
+ Ein im Certificate Manager in der Region USA Ost (Nord-Virginia) (us-east-1) gespeichertes AWS Client-Zertifikat
+ Original-Server, die so konfiguriert sind, dass sie eine gegenseitige TLS-Authentifizierung erfordern und Client-Zertifikate validieren
+ Ursprungsserver, die Zertifikate von öffentlich vertrauenswürdigen Zertifizierungsstellen präsentieren
+ Berechtigungen zum Ändern von CloudFront Distributionen
+ Origin mTLS ist nur für Business-, Premium- oder Pay-as-you-go-Preispläne verfügbar.
**Anmerkung**
Origin mTLS können für benutzerdefinierte Origins (einschließlich Origins, die extern gehostet werden AWS) und AWS Origins, die gegenseitiges TLS unterstützen, wie Application Load Balancer und API Gateway, konfiguriert werden.
**Wichtig**
Die folgenden CloudFront Funktionen werden mit Original-MTLs nicht unterstützt:
**gRPC-Verkehr:** Das gRPC-Protokoll wird für Ursprünge mit aktiviertem Ursprungs-MTLS nicht unterstützt
**WebSocket Verbindungen:** Das WebSocket Protokoll wird für Ursprünge mit aktiviertem Ursprungs-MTLS nicht unterstützt
**VPC-Ursprünge:** Ursprungs-MTLs können nicht mit VPC-Ursprüngen verwendet werden
**Origin-Anfrage- und Origin-Antwort-Trigger mit Lambda @Edge:** Lambda @Edge -Funktionen in Origin-Request- und Origin-Response-Positionen werden mit Ursprungs-MTLs nicht unterstützt
**Eingebettet POPs:** Ursprungs-MTLS wird für eingebettete Versionen nicht unterstützt POPs
## Original-MTLS aktivieren
Die Konfiguration pro Ursprung ermöglicht es Ihnen, verschiedene Client-Zertifikate für verschiedene Ursprünge innerhalb derselben Distribution anzugeben. Dieser Ansatz bietet maximale Flexibilität, wenn Ihre Ursprünge unterschiedliche Authentifizierungsanforderungen haben.
### Für neue Distributionen (Konsole)
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die CloudFront Konsole unter[https://console.aws.amazon.com/cloudfront/v4/home](https://console.aws.amazon.com/cloudfront/v4/home).
1. Wählen Sie **Distribution erstellen**
1. Wähle einen Preisplan aus: Wähle entweder **Business** oder **Premium** oder **Pay As You Go** (Origin mTLS ist im kostenlosen Tarif nicht verfügbar)
1. Wähle im Bereich Origin-Einstellungen die Option Origin Type als Andere
1. Wähle im Abschnitt **Origin-Einstellungen** die Option **Origin-Einstellungen anpassen**
1. Konfiguriere deinen ersten Ursprung (Domainname, Protokoll usw.)
1. Suchen Sie in der Origin-Konfiguration nach **mTLS**
1. Schalten Sie **mTLS** auf Ein
1. Wählen Sie für **Client-Zertifikat** Ihr Zertifikat aus AWS Certificate Manager aus
1. (Optional) Fügen Sie weitere Ursprünge mit ihren eigenen mTLS-Konfigurationen für den Ursprung hinzu
1. Vervollständigen Sie die verbleibenden Verteilungseinstellungen und wählen Sie Verteilung **erstellen**
### Für bestehende Distributionen (Konsole)
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die CloudFront Konsole unter[https://console.aws.amazon.com/cloudfront/v4/home](https://console.aws.amazon.com/cloudfront/v4/home).
1. Wählen Sie in der Verteilerliste die Distribution aus, die Sie ändern möchten. (Hinweis: Vergewissern Sie sich, dass für Ihren Vertrieb ein **Pro-, Premium- oder Pay-As-You-Go-Preismodell** gilt. Wenn nicht, müssen Sie Ihren Preisplan aktualisieren, bevor Sie Origin mTLS aktivieren können.
1. Wählen Sie den Tab **Origins**
1. Wählen Sie den Ursprung aus, den Sie konfigurieren möchten, und wählen Sie **Bearbeiten**
1. Suchen Sie in den Origin-Einstellungen nach **mTLS**
1. Schalten Sie **mTLS** auf Ein
1. Wählen Sie für **Client-Zertifikat** Ihr Zertifikat aus AWS Certificate Manager aus. (Hinweis: Nur Client-Zertifikate, bei denen die EKU-Eigenschaft (Extended Key Usage) auf „TLS-Client-Authentifizierung“ gesetzt ist, werden aufgelistet)
1. Wählen Sie **Save Changes (Änderungen speichern)**
1. Wiederholen Sie den Vorgang bei Bedarf für weitere Ursprünge
## AWS CLI verwenden
Geben Sie für die Konfiguration pro Ursprung die ursprünglichen mTLS-Einstellungen in der Konfiguration jedes Ursprungs an:
```
{
"Origins": {
"Quantity": 2,
"Items": [
{
"Id": "origin-1",
"DomainName": "api.example.com",
"CustomOriginConfig": {
"HTTPSPort": 443,
"OriginProtocolPolicy": "https-only"
},
"OriginMtlsConfig": {
"ClientCertificateArn": "arn:aws:acm:us-east-1:123456789012:certificate/cert-1"
}
},
{
"Id": "origin-2",
"DomainName": "backend.example.com",
"CustomOriginConfig": {
"HTTPSPort": 443,
"OriginProtocolPolicy": "https-only"
},
"OriginMtlsConfig": {
"CertificateArn": "arn:aws:acm:us-east-1:123456789012:certificate/cert-2"
}
}
]
}
}
```
**Anmerkung**
CloudFront stellt das Client-Zertifikat nicht zur Verfügung, wenn der Server es nicht anfordert, sodass die Verbindung normal weitergeführt werden kann.
## Nächste Schritte
Nachdem Sie die Original-MTLS auf Ihrer CloudFront Distribution aktiviert haben, können Sie Authentifizierungsereignisse mithilfe von CloudFront Zugriffsprotokollen überwachen.