Vertrauensspeicher und Zertifikatsverwaltung - Amazon CloudFront
Was ist ein Trust Store?Unterstützung durch ZertifizierungsstellenAnforderungen und Spezifikationen für ZertifikateErstellen Sie einen Trust StoreOrdnen Sie den Trust Store Distributionen zuVertrauensspeicher verwalten

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Vertrauensspeicher und Zertifikatsverwaltung

Das Erstellen und Konfigurieren eines Trust Stores ist eine zwingende Voraussetzung für die Implementierung der gegenseitigen TLS-Authentifizierung mit CloudFront. Trust Stores enthalten die Zertifikate der Zertifizierungsstelle (CA), die zur Validierung von Client-Zertifikaten während des Authentifizierungsprozesses CloudFront verwendet werden.

Was ist ein Trust Store?

Ein Trust Store ist ein Repository mit CA-Zertifikaten, das zur Validierung von Client-Zertifikaten bei der gegenseitigen TLS-Authentifizierung CloudFront verwendet wird. Trust Stores enthalten die Stamm- und Zwischenzertifikate der Zertifizierungsstelle, die die Vertrauenskette für die Authentifizierung von Client-Zertifikaten bilden.

Wenn Sie Mutual TLS mit implementieren CloudFront, definiert der Trust Store, welchen Zertifizierungsstellen Sie vertrauen, dass sie gültige Client-Zertifikate ausstellen. CloudFront validiert jedes Client-Zertifikat während des TLS-Handshakes anhand Ihres Vertrauensspeichers. Nur Clients, die Zertifikate vorlegen, die mit einem der Zertifikate CAs in Ihrem Trust Store verknüpft sind, werden erfolgreich authentifiziert.

Trust Stores in CloudFront sind Ressourcen auf Kontoebene, die Sie mehreren Distributionen zuordnen können. Auf diese Weise können Sie konsistente Richtlinien zur Zertifikatsvalidierung in Ihrer gesamten CloudFront Bereitstellung beibehalten und gleichzeitig die CA-Zertifikatsverwaltung vereinfachen.

Unterstützung durch Zertifizierungsstellen

CloudFront unterstützt Zertifikate, die sowohl von AWS privaten Zertifizierungsstellen als auch von privaten Zertifizierungsstellen von Drittanbietern ausgestellt wurden. Diese Flexibilität ermöglicht es Ihnen, Ihre bestehende Zertifikatsinfrastruktur zu verwenden oder AWS verwaltete Zertifikatsdienste zu nutzen, die Ihren organisatorischen Anforderungen entsprechen.

  • AWS Private Zertifizierungsstelle: Sie können Zertifikate verwenden, die von AWS Private CA ausgestellt wurden. Private CA stellt einen verwalteten Dienst für private Zertifizierungsstellen bereit. Diese Integration vereinfacht die Verwaltung des Zertifikatslebenszyklus und bietet eine nahtlose Integration mit anderen AWS Diensten.

  • Private Zertifizierungsstellen von Drittanbietern: Sie können auch Zertifikate aus Ihrer bestehenden privaten Zertifizierungsstellen-Infrastruktur verwenden, einschließlich Unternehmens CAs - oder anderer Drittanbieter von Zertifikaten. Auf diese Weise können Sie Ihre aktuellen Prozesse zur Zertifikatsverwaltung beibehalten und gleichzeitig die CloudFront mTLS-Funktionen hinzufügen.

Anforderungen und Spezifikationen für Zertifikate

Trust Stores haben spezielle Anforderungen an die CA-Zertifikate, die sie enthalten:

Anforderungen an das Format von CA-Zertifikaten

  • Format: PEM-Format (Privacy Enhanced Mail)

  • Inhaltsgrenzen: Zertifikate müssen innerhalb der Grenzen -----BEGIN CERTIFICATE----- und -----END CERTIFICATE----- liegen

  • Kommentare: Dem muss ein #-Zeichen vorangestellt werden und es dürfen keine -Zeichen enthalten

  • Zeilenumbrüche: Zwischen Zertifikaten sind keine Leerzeilen zulässig

Unterstützte Zertifikatsspezifikationen

  • Zertifikatstyp: X.509v3

  • Typen öffentlicher Schlüssel:

    • RSA 2048, RSA 4096

    • ECSA: secp256r1

  • Signaturalgorithmen:

    • SHA256, SHA384, SHA512 mit RSA

    • SHA256, SHA384, SHA512 mit EC

    • SHA256 SHA384, SHA512 mit RSASSA-PSS mit MGF1

Beispiel für ein Zertifikatspaket

Mehrere Zertifikate (PEM-kodiert):

# Root CA Certificate
-----BEGIN CERTIFICATE-----
MIIDXTCCAkWgAwIBAgIJAKoK/OvD/XqiMA0GCSqGSIb3DQEBCwUAMEUxCzAJBgNV
BAYTAkFVMRMwEQYDVQQIDApTb21lLVN0YXRlMSEwHwYDVQQKDBhJbnRlcm5ldCBX
aWRnaXRzIFB0eSBMdGQwHhcNMTcwNzEyMTU0NzQ4WhcNMjcwNzEwMTU0NzQ4WjBF
MQswCQYDVQQGEwJBVTETMBEGA1UECAwKU29tZS1TdGF0ZTEhMB8GA1UECgwYSW50
ZXJuZXQgV2lkZ2l0cyBQdHkgTHRkMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIB
CgKCAQEAuuExKvY1xzHFylsHiuowqpmzs7rEcuuylOuEszpFp+BtXh0ZuEtts9LP
-----END CERTIFICATE-----
# Intermediate CA Certificate
-----BEGIN CERTIFICATE-----
MIIDXTCCAkWgAwIBAgIJAKoK/OvD/XqjMA0GCSqGSIb3DQEBCwUAMEUxCzAJBgNV
BAYTAkFVMRMwEQYDVQQIDApTb21lLVN0YXRlMSEwHwYDVQQKDBhJbnRlcm5ldCBX
aWRnaXRzIFB0eSBMdGQwHhcNMTcwNzEyMTU0NzQ4WhcNMjcwNzEwMTU0NzQ4WjBF
MQswCQYDVQQGEwJBVTETMBEGA1UECAwKU29tZS1TdGF0ZTEhMB8GA1UECgwYSW50
ZXJuZXQgV2lkZ2l0cyBQdHkgTHRkMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIB
CgKCAQEAuuExKvY1xzHFylsHiuowqpmzs7rEcuuylOuEszpFp+BtXh0ZuEtts9LP
-----END CERTIFICATE-----

Erstellen Sie einen Trust Store

Bevor Sie einen Trust Store erstellen, müssen Sie Ihr CA-Zertifikatspaket im PEM-Format in einen Amazon S3 S3-Bucket hochladen. Das Zertifikatspaket sollte alle vertrauenswürdigen Stamm- und Zwischenzertifikate von CA enthalten, die zur Validierung Ihrer Client-Zertifikate erforderlich sind.

Das CA-Zertifikatspaket wird bei der Erstellung eines Vertrauensspeichers nur einmal aus S3 gelesen. Wenn future Änderungen am CA-Zertifikatspaket vorgenommen werden, muss der Trust Store manuell aktualisiert werden. Zwischen dem Trust Store und dem S3-CA-Zertifikatspaket wird keine Synchronisierung aufrechterhalten.

Voraussetzungen

  • Ein Zertifikatspaket von Ihrer Zertifizierungsstelle (CA), das in einen Amazon S3 S3-Bucket hochgeladen wurde

  • Die erforderlichen Berechtigungen zum Erstellen von CloudFront Ressourcen

Um einen Trust Store (Konsole) zu erstellen

  1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die CloudFront Konsole unterhttps://console.aws.amazon.com/cloudfront/v4/home.

  2. Wählen Sie im Navigationsbereich Trust Stores aus.

  3. Wählen Sie Trust Store erstellen aus.

  4. Geben Sie unter Name des Vertrauensspeichers einen Namen für Ihren Vertrauensspeicher ein.

  5. Geben Sie für das Zertifizierungsstellenpaket (CA) den Amazon S3 S3-Pfad zu Ihrem CA-Zertifikatspaket im PEM-Format ein.

  6. Wählen Sie Trust Store erstellen.

So erstellen Sie einen Trust Store (AWS CLI)

aws cloudfront create-trust-store \
  --name MyTrustStore \
  --certificate-authority-bundle-s3-location Bucket=my-bucket,Key=ca-bundle.pem \
  --tags Items=[{Key=Environment,Value=Production}]

Ordnen Sie den Trust Store Distributionen zu

Nachdem Sie einen Trust Store erstellt haben, müssen Sie ihn einer CloudFront Distribution zuordnen, um die gegenseitige TLS-Authentifizierung zu aktivieren.

Voraussetzungen

  • Eine bestehende CloudFront Distribution mit aktivierter Viewer-Protokollrichtlinie „Nur HTTPS“ und deaktivierter HTTP3 Unterstützung.

Um einen Trust Store (Konsole) zuzuordnen

Es gibt zwei Möglichkeiten, einen Trust Store innerhalb der CloudFront Konsole zuzuordnen: über die Seite mit den Trust Store-Details oder über die Seite mit den Verteilungseinstellungen.

Zuordnen eines Trust Stores über die Seite mit den Trust Store-Details:

  1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die CloudFront Konsole unterhttps://console.aws.amazon.com/cloudfront/v4/home.

  2. Wählen Sie im Navigationsbereich Trust Stores aus.

  3. Wählen Sie den Namen des Trust Store aus, den Sie verknüpfen möchten.

  4. Wählen Sie Mit Vertrieb verknüpfen aus.

  5. Konfigurieren Sie die verfügbaren Viewer-MTLS-Optionen:

    • Validierungsmodus für Client-Zertifikate: Wählen Sie zwischen dem Modus „Erforderlich“ und „Optional“. Im Modus „Erforderlich“ müssen alle Clients Zertifikate vorlegen. Im optionalen Modus werden Clients, die Zertifikate vorlegen, validiert, während Clients, die keine Zertifikate vorlegen, Zugriff erhalten.

    • Vertrauensspeicher-CA-Namen bekannt geben: Wählen Sie aus, ob die CA-Namen in Ihrem Trust Store den Clients während des TLS-Handshakes bekannt gegeben werden sollen.

    • Ablaufdatum des Zertifikats ignorieren: Wählen Sie aus, ob Verbindungen mit abgelaufenen Zertifikaten zugelassen werden sollen (andere Validierungskriterien gelten weiterhin).

    • Verbindungsfunktion: Eine optionale Verbindungsfunktion kann allow/deny Verbindungen auf der Grundlage anderer benutzerdefinierter Kriterien zugeordnet werden.

  6. Wählen Sie eine oder mehrere Distributionen aus, die dem Trust Store zugeordnet werden sollen. Nur Distributionen mit HTTP3 deaktiviertem Cacheverhalten und reinen HTTPS-Cacheverhalten können Viewer-MTLs unterstützen.

  7. Wählen Sie Associate aus.

Zuordnen eines Trust Stores über die Seite mit den Verteilungseinstellungen:

  1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die CloudFront Konsole unterhttps://console.aws.amazon.com/cloudfront/v4/home.

  2. Wählen Sie die Distribution aus, die Sie zuordnen möchten

  3. Wählen Sie auf der Registerkarte Allgemein im Container Einstellungen in der oberen rechten Ecke die Option Bearbeiten

  4. Scrollen Sie auf der Seite nach unten, schalten Sie im Connectivity-Container den Viewer-mTLS-Schalter ein

  5. Konfigurieren Sie die verfügbaren Viewer-MTLS-Optionen:

    • Validierungsmodus für Client-Zertifikate: Wählen Sie zwischen dem Modus „Erforderlich“ und „Optional“. Im Modus „Erforderlich“ müssen alle Clients Zertifikate vorlegen. Im optionalen Modus werden Clients, die Zertifikate vorlegen, validiert, während Clients, die keine Zertifikate vorlegen, Zugriff erhalten.

    • Vertrauensspeicher-CA-Namen bekannt geben: Wählen Sie aus, ob die CA-Namen in Ihrem Trust Store den Clients während des TLS-Handshakes bekannt gegeben werden sollen.

    • Ablaufdatum des Zertifikats ignorieren: Wählen Sie aus, ob Verbindungen mit abgelaufenen Zertifikaten zugelassen werden sollen (andere Validierungskriterien gelten weiterhin).

    • Verbindungsfunktion: Eine optionale Verbindungsfunktion kann allow/deny Verbindungen auf der Grundlage anderer benutzerdefinierter Kriterien zugeordnet werden.

  6. Wählen Sie in der unteren rechten Ecke die Option Änderungen speichern aus.

So ordnen Sie einen Trust Store (AWS CLI) zu

Trust Stores können Distributionen über den DistributionConfig zugeordnet werden. ViewerMtlsConfig Eigentum. Das bedeutet, dass wir zuerst die Distributionskonfiguration abrufen und diese dann ViewerMtlsConfig in einer nachfolgenden UpdateDistribution Anfrage bereitstellen müssen.

// First fetch the distribution
aws cloudfront get-distribution {DISTRIBUTION_ID}

// Update the distribution config, for example:
Distribution config, file://distConf.json: 
{
  ...other fields,
  ViewerMtlsConfig: {
    Mode: 'required',
    TrustStoreConfig: {
        AdvertiseTrustStoreCaNames: false,
        IgnoreCertificateExpiry: true,
        TrustStoreId: {TRUST_STORE_ID}
    }
  }
}

aws cloudfront update-distribution \
   --id {DISTRIBUTION_ID} \
   --if-match {ETAG} \
   --distribution-config file://distConf.json

Vertrauensspeicher verwalten

Details zum Trust Store anzeigen

  1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die CloudFront Konsole unterhttps://console.aws.amazon.com/cloudfront/v4/home.

  2. Wählen Sie im Navigationsbereich Trust Stores aus.

  3. Wählen Sie den Namen des Trust Store aus, um dessen Detailseite anzuzeigen.

Die Detailseite zeigt:

  • Name und ID des Vertrauensspeichers

  • Anzahl der CA-Zertifikate

  • Erstellungsdatum und Datum der letzten Änderung

  • Assoziierte Distributionen

  • Tags (Markierungen)

Ändern Sie einen Trust Store

Um das CA-Zertifikatspaket zu ersetzen:

  1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die CloudFront Konsole unterhttps://console.aws.amazon.com/cloudfront/v4/home.

  2. Wählen Sie im Navigationsbereich Trust Stores aus.

  3. Wählen Sie den Namen des Trust Store aus.

  4. Wählen Sie Aktionen und dann Bearbeiten.

  5. Geben Sie für das Zertifizierungsstellenpaket (CA) den Amazon S3 S3-Speicherort der aktualisierten CA-Bundle-PEM-Datei ein.

  6. Wählen Sie Trust Store aktualisieren.

Löschen Sie einen Trust Store

Voraussetzungen: Sie müssen zuerst den Trust Store von allen CloudFront Distributionen trennen.

  1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die CloudFront Konsole unter. https://console.aws.amazon.com/cloudfront/v4/home

  2. Wählen Sie im Navigationsbereich Trust Stores aus.

  3. Wählen Sie den Namen des Trust Store aus.

  4. Wählen Sie Trust Store löschen.

  5. Wählen Sie zur Bestätigung Delete.

Nächste Schritte

Nachdem Sie Ihren Trust Store erstellt und mit einer CloudFront Distribution verknüpft haben, können Sie damit fortfahren, die gegenseitige TLS-Authentifizierung auf Ihrer Distribution zu aktivieren und zusätzliche Einstellungen wie die Weiterleitung von Zertifikatsheadern an Ihre Ursprünge zu konfigurieren. Ausführliche Anweisungen zur Aktivierung von mTLS auf Ihren Distributionen finden Sie unter. Aktivieren Sie Mutual TLS für Distributionen CloudFront