Validation du certificat client Mode facultatif Publicité de l'autorité de certification Gestion de l'expiration des certificats Étapes suivantes

Configuration de paramètres supplémentaires

Après avoir activé l'authentification TLS mutuelle de base, vous pouvez configurer des paramètres supplémentaires pour personnaliser le comportement d'authentification en fonction de cas d'utilisation et d'exigences spécifiques.

Validation du certificat client Mode facultatif

CloudFront propose un autre mode facultatif de validation des certificats clients qui valide les certificats clients présentés mais autorise l'accès aux clients qui ne présentent pas de certificats.

Comportement du mode facultatif

Accorde la connexion aux clients dotés de certificats valides (les certificats non valides sont refusés).
Permet la connexion aux clients sans certificat
Permet des scénarios d'authentification client mixtes via une distribution unique.

Le mode optionnel est idéal pour la migration progressive vers l'authentification mTLS, la prise en charge des clients détenteurs de certificats et des clients dépourvus de certificats, ou le maintien de la rétrocompatibilité avec les anciens clients.

Note

En mode facultatif, les fonctions de connexion sont toujours invoquées même lorsque les clients ne présentent pas de certificats. Cela vous permet d'implémenter une logique personnalisée, telle que la journalisation des adresses IP des clients ou l'application de politiques différentes en fonction de la présentation des certificats.

Pour configurer le mode facultatif (console)

Dans vos paramètres de distribution, accédez à l'onglet Général, puis choisissez Modifier.
Accédez à la section Authentification mutuelle (mTLS) du visualiseur dans le conteneur de connectivité.
Pour le mode de validation du certificat client, sélectionnez Facultatif.
Enregistrez les modifications.

Pour configurer le mode facultatif (AWS CLI)

L'exemple suivant montre comment configurer le mode facultatif :



"ViewerMtlsConfig": {
   "Mode": "optional",
   ...other settings
}

Publicité de l'autorité de certification

Le AdvertiseTrustStoreCaNames champ contrôle si CloudFront la liste des noms d'autorités de certification fiables est envoyée aux clients lors de la prise de contact TLS, afin d'aider les clients à sélectionner le certificat approprié.

Pour configurer la publicité CA (console)

Dans vos paramètres de distribution, accédez à l'onglet Général, puis choisissez Modifier.
Accédez à la section Authentification mutuelle (mTLS) du visualiseur dans le conteneur de connectivité.
Cochez ou désélectionnez la case Advertise Trust Store CA names.
Sélectionnez Enregistrer les modifications.

Pour configurer la publicité CA (AWS CLI)

L'exemple suivant montre comment activer la publicité CA :


"ViewerMtlsConfig": {
   "Mode": "required", // or "optional"
   "TrustStoreConfig": {
      "AdvertiseTrustStoreCaNames": true,
      ...other settings
   } 
}

Gestion de l'expiration des certificats

La IgnoreCertificateExpiry propriété détermine comment CloudFront répondre aux certificats clients expirés. Par défaut, CloudFront rejette les certificats clients expirés, mais vous pouvez le configurer pour les accepter si nécessaire. Ceci est généralement activé pour les appareils dont les certificats ont expiré et qui ne peuvent pas être facilement mis à jour.

Pour configurer la gestion de l'expiration des certificats (console)

Dans vos paramètres de distribution, accédez à l'onglet Général, puis choisissez Modifier.
Accédez à la section Authentification mutuelle (mTLS) Viewer du conteneur de connectivité.
Cochez ou désélectionnez la case Ignorer la date d'expiration du certificat.
Sélectionnez Enregistrer les modifications.

Pour configurer la gestion de l'expiration des certificats (AWS CLI)

L'exemple suivant montre comment ignorer l'expiration d'un certificat :


"ViewerMtlsConfig": {
  "Mode": "required", // or "optional"
  "TrustStoreConfig": {
     "IgnoreCertificateExpiry": false,
     ...other settings
  }
}

Note

IgnoreCertificateExpiryne s'applique qu'aux dates de validité des certificats. Tous les autres contrôles de validation des certificats s'appliquent toujours (chaîne de confiance, validation de signature).

Étapes suivantes

Après avoir configuré des paramètres supplémentaires, vous pouvez configurer le transfert d'en-têtes pour transmettre les informations de certificat à vos origines, implémenter la révocation des certificats à l'aide des fonctions de connexion et KeyValueStore activer les journaux de connexion à des fins de surveillance. Pour plus de détails sur le transfert des informations de certificat vers les origines, voir Transférer les en-têtes vers les origines.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Associer une fonction CloudFront de connexion

En-têtes MTLS Viewer pour les politiques de cache et transférés à l'origine