View a markdown version of this page

Configuración adicional - Amazon CloudFront

Configuración adicional

Tras habilitar la autenticación TLS mutua básica, puede configurar ajustes adicionales para personalizar el comportamiento de autenticación para casos de uso y requisitos específicos.

Anuncio de la autoridad de certificación

El campo AdvertiseTrustStoreCaNames controla si CloudFront envía la lista de nombres de autoridad de certificación de confianza a los clientes durante el establecimiento de comunicación de TLS, lo que ayuda a los clientes a seleccionar el certificado adecuado.

Configuración de la publicidad de la autoridad de certificación (consola)

  1. En la configuración de distribución, vaya a la pestaña General y elija Editar.

  2. Desplácese hasta la sección Autenticación mutua (mTLS) del espectador en el contenedor Conectividad.

  3. Active o desactive la casilla de verificación Anunciar nombres de autoridad de certificación de almacenes de confianza.

  4. Seleccione Save changes (Guardar cambios).

Configuración de la publicidad de la autoridad de certificación (CLI de AWS)

En el ejemplo siguiente, se muestra cómo habilitar la publicidad de la autoridad de certificación:

"ViewerMtlsConfig": { "Mode": "required", // or "optional" "TrustStoreConfig": { "AdvertiseTrustStoreCaNames": true, ...other settings } }

Gestión de caducidad de certificados

La propiedad IgnoreCertificateExpiry determina cómo responde CloudFront a los certificados de cliente caducados. De forma predeterminada, CloudFront rechaza los certificados de cliente caducados, pero puede configurarlo para que los acepte cuando sea necesario. Por lo general, esto se habilita para dispositivos con certificados caducados que no se pueden actualizar fácilmente.

Configuración de la gestión de la caducidad de los certificados (consola)

  1. En la configuración de distribución, vaya a la pestaña General y elija Editar.

  2. Desplácese hasta la sección Autenticación mutua (mTLS) del espectador del contenedor Conectividad.

  3. Seleccione o desmarque la casilla de verificación Omitir la fecha de caducidad del certificado.

  4. Seleccione Save changes (Guardar cambios).

Configuración de la gestión de la caducidad de los certificados (CLI de AWS)

En el siguiente ejemplo, se muestra cómo ignorar la caducidad de un certificado:

"ViewerMtlsConfig": { "Mode": "required", // or "optional" "TrustStoreConfig": { "IgnoreCertificateExpiry": false, ...other settings } }
nota

IgnoreCertificateExpiry solo se aplica a las fechas de validez de los certificados. Se siguen aplicando todas las demás comprobaciones de validación de certificados (cadena de confianza, validación de firmas).

Siguientes pasos

Tras configurar ajustes adicionales, puede configurar el reenvío de encabezados para transferir la información del certificado a los orígenes, implementar la revocación de certificados mediante funciones de conexión y KeyValueStore, y habilitar los registros de conexión para su supervisión. Para obtener más información sobre cómo reenviar la información de los certificados a los orígenes, consulte Reenviar encabezados a los orígenes.