Configuración del reenvío de encabezados Consideraciones sobre el procesamiento de encabezados Siguientes pasos

Encabezados de mTLS del espectador para las políticas de caché y reenvío al origen

Al utilizar la autenticación TLS mutua, CloudFront puede extraer información de los certificados de cliente y reenviarla a los orígenes como encabezados HTTP. Esto permite que los servidores de origen accedan a los detalles de los certificados sin implementar una lógica de validación de certificados.

Los siguientes encabezados están disponibles para crear comportamientos de caché:

Nombre del encabezado	Descripción	Ejemplo de valor
CloudFront-Viewer-Cert-Serial-Number	Representación hexadecimal del número de serie del certificado	4a:3f:5c:92:d1:e8:7b:6c
CloudFront-Viewer-Cert-Issuer	Representación de cadena RFC2253 del nombre distintivo (DN) del emisor	CN=rootcamtls.com,OU=rootCA,O=mTLS,L=Seattle,ST=Washington,C=US
CloudFront-Viewer-Cert-Subject	Representación de cadena RFC2253 del nombre distintivo (DN) del sujeto	CN=client_.com,OU=client-3,O=mTLS,ST=Washington,C=US
CloudFront-Viewer-Cert-Present	1 (presente) o 0 (no presente) indican si el certificado está presente. Este valor siempre es 1 en el modo obligatorio.	1
CloudFront-Viewer-Cert-Sha256	El hash SHA256 del certificado del cliente	01fbf94fef5569753420c349f49adbfd80af5275377816e3ab1fb371b29cb586

Para las solicitudes de origen, se proporcionan dos encabezados adicionales, además de los encabezados anteriores disponibles para los comportamientos de la caché:

Nombre del encabezado	Descripción	Ejemplo de valor
CloudFront-Viewer-Cert-Validity	Formato ISO8601 de la fecha notBefore y notAfter	CloudFront-Viewer-Cert-Validity: NotBefore=2023-09-21T01:50:17Z;NotAfter=2024-09-20T01:50:17Z
CloudFront-Viewer-Cert-Pem	Formato PEM codificado en URL del certificado de hoja	CloudFront-Viewer-Cert-Pem: -----BEGIN%20CERTIFICATE-----%0AMIIG<...reduced...>NmrUlw%0A-----END%20CERTIFICATE-----%0A

Configuración del reenvío de encabezados

Consola

En el modo de verificación, CloudFront agrega automáticamente los encabezados CloudFront-Viewer-Cert-* a todas las solicitudes de los espectadores. Reenvío de estos encabezados al origen:

En la página principal de distribuciones de la lista, seleccione la distribución con el mTLS de espectador habilitado y vaya a la pestaña Comportamientos.
Seleccione el comportamiento de caché y elija Editar.
En la sección Política de solicitudes de origen, elija Crear política o seleccione una política existente.
Asegúrese de que los siguientes encabezados estén incluidos en la política de solicitud de origen:
- CloudFront-Viewer-Cert-Serial-Number
- CloudFront-Viewer-Cert-Issuer
- CloudFront-Viewer-Cert-Subject
- CloudFront-Viewer-Cert-Present
- Cloudfront-Viewer-Cert-Sha256
- CloudFront-Viewer-Cert-Validity
- CloudFront-Viewer-Cert-Pem
Elija Crear (para políticas nuevas) o Guardar cambios (para políticas existentes).
Seleccione la política que se ajuste al comportamiento de la memoria caché y guarde los cambios.

Uso de la CLI de AWS

En el siguiente ejemplo se muestra cómo crear una política de solicitud de origen que incluya encabezados mTLS para el modo de verificación:


aws cloudfront create-origin-request-policy \
  --origin-request-policy-config '{
    "Name": "MTLSHeadersPolicy",
    "HeadersConfig": {
      "HeaderBehavior": "whitelist",
      "Headers": {
        "Quantity": 5,
        "Items": [
          "CloudFront-Viewer-Cert-Serial-Number",
          "CloudFront-Viewer-Cert-Issuer",
          "CloudFront-Viewer-Cert-Subject",
          "CloudFront-Viewer-Cert-Validity",
          "CloudFront-Viewer-Cert-Pem"
        ]
      }
    },
    "CookiesConfig": {
      "CookieBehavior": "none"
    },
    "QueryStringsConfig": {
      "QueryStringBehavior": "none"
    }
  }'

Consideraciones sobre el procesamiento de encabezados

Cuando trabaje con encabezados de certificados, tenga en cuenta estas prácticas recomendadas:

Validación de encabezados: compruebe los valores de los encabezados de los certificados en el origen como medida de seguridad adicional
Límites de tamaño de los encabezados: los encabezados de los certificados PEM pueden ser grandes, asegúrese de que el servidor de origen pueda gestionarlos
Consideraciones sobre la caché: el uso de encabezados de certificado en la clave de caché aumenta la fragmentación de la caché
Solicitudes de origen cruzado: si la aplicación usa CORS, es posible que deba configurarla para permitir los encabezados de los certificados

Siguientes pasos

Tras configurar el reenvío de encabezados, puede implementar la comprobación de la revocación de certificados mediante funciones de conexión de CloudFront y KeyValueStore. Para obtener más información sobre la implementación de las comprobaciones de revocación, consulte Revocación mediante la función de conexión de CloudFront y KVS.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Configuración adicional

Revocación mediante la función de conexión de CloudFront y KVS