View a markdown version of this page

Zeigt die mTLS-Header für Cache-Richtlinien an und leitet sie an den Ursprung weiter - Amazon CloudFront

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Zeigt die mTLS-Header für Cache-Richtlinien an und leitet sie an den Ursprung weiter

Wenn Sie die gegenseitige TLS-Authentifizierung verwenden, CloudFront können Sie Informationen aus Client-Zertifikaten extrahieren und sie als HTTP-Header an Ihre Ursprünge weiterleiten. Auf diese Weise können Ihre Ursprungsserver auf Zertifikatsdetails zugreifen, ohne eine Logik zur Zertifikatsvalidierung implementieren zu müssen.

Die folgenden Header stehen für die Erstellung von Cache-Verhalten zur Verfügung:

Header-Name Description Beispielwert Unterstützte Modi
CloudFront-Viewer-Cert-Serial-Number Hexadezimale Darstellung der Seriennummer des Zertifikats 4a:3f:5c:92:d1:e 8:7 b:6c Erforderlich, optional, Passthrough
CloudFront-Viewer-Cert-Issuer RFC2253-Zeichenkettendarstellung des definierten Namens (DN) des Emittenten cn=RootCamTLS.com, ou=RootCA, o=MTLS, L=Seattle, ST=Washington, C=US Erforderlich, optional, Passthrough
CloudFront-Viewer-Cert-Subject RFC2253-Zeichenkettendarstellung des definierten Namens (DN) des Betreffenden CN=Client_.com, OU=Client-3, O=MTLS, ST=Washington, C=USA Erforderlich, optional, Passthrough
CloudFront-Viewer-Cert-Present Entweder 1 (vorhanden) oder 0 (nicht vorhanden), was angibt, ob das Zertifikat vorhanden ist. Dieser Wert ist im Modus Erforderlich immer 1. 1 Erforderlich, optional, Passthrough
CloudFront-Viewer-Cert-Sha256 Der SHA256-Hash des Client-Zertifikats 01fbf94fef5569753420c349f49adbfd80af5275377816e3ab1fb371b29cb586 Erforderlich, optional, Passthrough

Für ursprüngliche Anfragen werden zusätzlich zu den oben genannten Headern, die für Cache-Verhalten zur Verfügung gestellt wurden, zwei zusätzliche Header bereitgestellt. Aufgrund der möglichen Header-Größe ist der CloudFront-Viewer-Cert-Pem Header keinen Edge-Funktionen (Lambda @Edge oder CloudFront Functions) ausgesetzt und wird nur an den Ursprung weitergeleitet.

Header-Name Description Beispielwert Unterstützte Modi
CloudFront-Viewer-Cert-Validity ISO8601-Format des NotBefore- und NotAfter-Datums CloudFront-Viewer-Cert-Validity: =2023-09-21; =2024-09-20 NotBefore T01:50:17Z NotAfter T01:50:17Z Erforderlich, optional, Passthrough
CloudFront-Viewer-Cert-Pem URL-encoded PEM-Format des Blattzertifikats CloudFront-Viewer-Cert-Pem: -----BEGIN%20CERTIFICATE-----%0AMIIG<... reduziert... : NmrUlw -----ANFANG%20ZERTIFIKAT-----%0AMIIG %0A-----ENDE%20ZERTIFIKAT-----%0A Erforderlich, optional
Client-Cert Leaf-Zertifikat Client-Cert: :MIIG<... reduziert... : NmrUlw :MIIG: Pass-Through
Client-Cert-Chain Non-leaf Kette von Zertifikaten Client-Cert-Chain: :MIIG<... reduziert... : NmrUlw :MIIG: Pass-Through

Header-Weiterleitung konfigurieren

Konsole

Fügt im Überprüfungsmodus CloudFront automatisch die Header CloudFront-Viewer-Cert -* zu allen Viewer-Anfragen hinzu. Um diese Header an Ihren Ursprung weiterzuleiten:

  1. Wählen Sie auf der Hauptseite der Listenverteilungen Ihre Distribution mit aktivierten Viewer-MTLS aus und wechseln Sie zum Tab Verhalten

  2. Wählen Sie das Cache-Verhalten aus und klicken Sie auf Bearbeiten

  3. Wähle im Abschnitt Origin-Anforderungsrichtlinie die Option Richtlinie erstellen oder wähle eine bestehende Richtlinie aus

  4. Vergewissere dich, dass die folgenden Header in der Richtlinie für Ursprungsanfragen enthalten sind:

    • CloudFront-Viewer-Cert-Serial-Number

    • CloudFront-Viewer-Cert-Issuer

    • CloudFront-Viewer-Cert-Subject

    • CloudFront-Viewer-Cert-Present

    • Cloudfront-Viewer-Cert-Sha256

    • CloudFront-Viewer-Cert-Validity

    • CloudFront-Viewer-Cert-Pem

  5. Wählen Sie Erstellen (für neue Richtlinien) oder Änderungen speichern (für bestehende Richtlinien)

  6. Wählen Sie die Richtlinie in Ihrem Cache-Verhalten aus und speichern Sie die Änderungen

Verwenden AWS CLI

Das folgende Beispiel zeigt, wie Sie eine Origin-Anforderungsrichtlinie erstellen, die mTLS-Header für den Überprüfungsmodus enthält:

aws cloudfront create-origin-request-policy \ --origin-request-policy-config '{ "Name": "MTLSHeadersPolicy", "HeadersConfig": { "HeaderBehavior": "whitelist", "Headers": { "Quantity": 5, "Items": [ "CloudFront-Viewer-Cert-Serial-Number", "CloudFront-Viewer-Cert-Issuer", "CloudFront-Viewer-Cert-Subject", "CloudFront-Viewer-Cert-Validity", "CloudFront-Viewer-Cert-Pem" ] } }, "CookiesConfig": { "CookieBehavior": "none" }, "QueryStringsConfig": { "QueryStringBehavior": "none" } }'

Überlegungen zur Header-Verarbeitung

Beachten Sie bei der Arbeit mit Zertifikatsheadern die folgenden bewährten Methoden:

  • Header-Validierung: Überprüfen Sie als zusätzliche Sicherheitsmaßnahme die Zertifikat-Header-Werte an Ihrem Ursprung

  • Größenbeschränkungen für Header: Die Header des PEM-Zertifikats können groß sein. Stellen Sie sicher, dass Ihr Ursprungsserver damit umgehen kann

  • Überlegungen zum Cache: Die Verwendung von Zertifikatsheadern in Ihrem Cache-Schlüssel erhöht die Cache-Fragmentierung

  • Cross-origin Anfragen: Wenn Ihre Anwendung CORS verwendet, müssen Sie sie möglicherweise so konfigurieren, dass die Zertifikatsheader zulässig sind

Nächste Schritte

Nachdem Sie die Header-Weiterleitung konfiguriert haben, können Sie die Überprüfung des Zertifikatswiderrufs mithilfe der CloudFront Verbindungsfunktionen und implementieren. KeyValueStore Einzelheiten zur Implementierung von Sperrprüfungen finden Sie unterWiderruf von Zertifikaten.