Implémenter la révocation des certificats pour le TLS mutuel (viewer) avec Functions et CloudFront KeyValueStore

Vous pouvez utiliser les fonctions de CloudFront connexion KeyValueStore pour implémenter le contrôle de révocation des certificats. Cela vous permet de conserver une liste des numéros de série des certificats révoqués et de vérifier les certificats clients par rapport à cette liste lors de la prise de contact TLS.

Pour implémenter la révocation des certificats, vous avez besoin des composants suivants :

Une distribution configurée avec les lecteurs MTL de visualisation
A KeyValueStore contenant les numéros de série des certificats révoqués
Une fonction de connexion qui interroge le KeyValueStore pour vérifier l'état du certificat

Lorsqu'un client se connecte, CloudFront valide le certificat par rapport au trust store, puis exécute votre fonction de connexion. Votre fonction vérifie le numéro de série du certificat par rapport au KeyValueStore et autorise ou refuse la connexion.

Rubriques

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Associer des fonctions de connexion à des distributions

Étape 1 : Création d'un formulaire KeyValueStore pour les certificats révoqués