Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Zeigt die mTLS-Header für Cache-Richtlinien an und leitet sie an den Ursprung weiter
Wenn Sie die gegenseitige TLS-Authentifizierung verwenden, CloudFront können Sie Informationen aus Client-Zertifikaten extrahieren und sie als HTTP-Header an Ihre Ursprünge weiterleiten. Auf diese Weise können Ihre Ursprungsserver auf Zertifikatsdetails zugreifen, ohne eine Logik zur Zertifikatsvalidierung implementieren zu müssen.
Die folgenden Header stehen für die Erstellung von Cache-Verhalten zur Verfügung:
| Header-Name | Description | Beispielwert | Unterstützte Modi |
|---|---|---|---|
| CloudFront-Viewer-Cert-Serial-Number | Hexadezimale Darstellung der Seriennummer des Zertifikats | 4a:3f:5c:92:d1:e 8:7 b:6c | Erforderlich, optional, Passthrough |
| CloudFront-Viewer-Cert-Issuer | RFC2253-Zeichenkettendarstellung des definierten Namens (DN) des Emittenten | cn=RootCamTLS.com, ou=RootCA, o=MTLS, L=Seattle, ST=Washington, C=US | Erforderlich, optional, Passthrough |
| CloudFront-Viewer-Cert-Subject | RFC2253-Zeichenkettendarstellung des definierten Namens (DN) des Betreffenden | CN=Client_.com, OU=Client-3, O=MTLS, ST=Washington, C=USA | Erforderlich, optional, Passthrough |
| CloudFront-Viewer-Cert-Present | Entweder 1 (vorhanden) oder 0 (nicht vorhanden), was angibt, ob das Zertifikat vorhanden ist. Dieser Wert ist im Modus Erforderlich immer 1. | 1 | Erforderlich, optional, Passthrough |
| CloudFront-Viewer-Cert-Sha256 | Der SHA256-Hash des Client-Zertifikats | 01fbf94fef5569753420c349f49adbfd80af5275377816e3ab1fb371b29cb586 | Erforderlich, optional, Passthrough |
Für ursprüngliche Anfragen werden zusätzlich zu den oben genannten Headern, die für Cache-Verhalten zur Verfügung gestellt wurden, zwei zusätzliche Header bereitgestellt. Aufgrund der möglichen Header-Größe ist der CloudFront-Viewer-Cert-Pem Header keinen Edge-Funktionen (Lambda @Edge oder CloudFront Functions) ausgesetzt und wird nur an den Ursprung weitergeleitet.
| Header-Name | Description | Beispielwert | Unterstützte Modi |
|---|---|---|---|
| CloudFront-Viewer-Cert-Validity | ISO8601-Format des NotBefore- und NotAfter-Datums | CloudFront-Viewer-Cert-Validity: =2023-09-21; =2024-09-20 NotBefore T01:50:17Z NotAfter T01:50:17Z | Erforderlich, optional, Passthrough |
| CloudFront-Viewer-Cert-Pem | URL-encoded PEM-Format des Blattzertifikats | CloudFront-Viewer-Cert-Pem: -----BEGIN%20CERTIFICATE-----%0AMIIG<... reduziert... : NmrUlw -----ANFANG%20ZERTIFIKAT-----%0AMIIG %0A-----ENDE%20ZERTIFIKAT-----%0A | Erforderlich, optional |
| Client-Cert | Leaf-Zertifikat | Client-Cert: :MIIG<... reduziert... : NmrUlw :MIIG: | Pass-Through |
| Client-Cert-Chain | Non-leaf Kette von Zertifikaten | Client-Cert-Chain: :MIIG<... reduziert... : NmrUlw :MIIG: | Pass-Through |
Header-Weiterleitung konfigurieren
Konsole
Fügt im Überprüfungsmodus CloudFront automatisch die Header CloudFront-Viewer-Cert -* zu allen Viewer-Anfragen hinzu. Um diese Header an Ihren Ursprung weiterzuleiten:
-
Wählen Sie auf der Hauptseite der Listenverteilungen Ihre Distribution mit aktivierten Viewer-MTLS aus und wechseln Sie zum Tab Verhalten
-
Wählen Sie das Cache-Verhalten aus und klicken Sie auf Bearbeiten
-
Wähle im Abschnitt Origin-Anforderungsrichtlinie die Option Richtlinie erstellen oder wähle eine bestehende Richtlinie aus
-
Vergewissere dich, dass die folgenden Header in der Richtlinie für Ursprungsanfragen enthalten sind:
CloudFront-Viewer-Cert-Serial-Number
CloudFront-Viewer-Cert-Issuer
CloudFront-Viewer-Cert-Subject
CloudFront-Viewer-Cert-Present
Cloudfront-Viewer-Cert-Sha256
CloudFront-Viewer-Cert-Validity
CloudFront-Viewer-Cert-Pem
-
Wählen Sie Erstellen (für neue Richtlinien) oder Änderungen speichern (für bestehende Richtlinien)
-
Wählen Sie die Richtlinie in Ihrem Cache-Verhalten aus und speichern Sie die Änderungen
Verwenden AWS CLI
Das folgende Beispiel zeigt, wie Sie eine Origin-Anforderungsrichtlinie erstellen, die mTLS-Header für den Überprüfungsmodus enthält:
aws cloudfront create-origin-request-policy \ --origin-request-policy-config '{ "Name": "MTLSHeadersPolicy", "HeadersConfig": { "HeaderBehavior": "whitelist", "Headers": { "Quantity": 5, "Items": [ "CloudFront-Viewer-Cert-Serial-Number", "CloudFront-Viewer-Cert-Issuer", "CloudFront-Viewer-Cert-Subject", "CloudFront-Viewer-Cert-Validity", "CloudFront-Viewer-Cert-Pem" ] } }, "CookiesConfig": { "CookieBehavior": "none" }, "QueryStringsConfig": { "QueryStringBehavior": "none" } }'
Überlegungen zur Header-Verarbeitung
Beachten Sie bei der Arbeit mit Zertifikatsheadern die folgenden bewährten Methoden:
-
Header-Validierung: Überprüfen Sie als zusätzliche Sicherheitsmaßnahme die Zertifikat-Header-Werte an Ihrem Ursprung
-
Größenbeschränkungen für Header: Die Header des PEM-Zertifikats können groß sein. Stellen Sie sicher, dass Ihr Ursprungsserver damit umgehen kann
-
Überlegungen zum Cache: Die Verwendung von Zertifikatsheadern in Ihrem Cache-Schlüssel erhöht die Cache-Fragmentierung
-
Cross-origin Anfragen: Wenn Ihre Anwendung CORS verwendet, müssen Sie sie möglicherweise so konfigurieren, dass die Zertifikatsheader zulässig sind
Nächste Schritte
Nachdem Sie die Header-Weiterleitung konfiguriert haben, können Sie die Überprüfung des Zertifikatswiderrufs mithilfe der CloudFront Verbindungsfunktionen und implementieren. KeyValueStore Einzelheiten zur Implementierung von Sperrprüfungen finden Sie unterWiderruf von Zertifikaten.