Header mTLS penampil untuk kebijakan cache dan diteruskan ke asal - Amazon CloudFront
Konfigurasikan penerusan headerPertimbangan pemrosesan headerLangkah selanjutnya

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Header mTLS penampil untuk kebijakan cache dan diteruskan ke asal

Saat menggunakan otentikasi TLS timbal balik, CloudFront dapat mengekstrak informasi dari sertifikat klien dan meneruskannya ke asal Anda sebagai header HTTP. Ini memungkinkan server asal Anda mengakses detail sertifikat tanpa menerapkan logika validasi sertifikat.

Header berikut tersedia untuk membuat perilaku cache:

Nama header Deskripsi Nilai contoh
CloudFront-Pemirsa Seri-Seri-Nomor Representasi heksadesimal dari nomor seri sertifikat 4a: 3f: 5c: 92: d1: e 8:7 b: 6c
CloudFront-Viewer-Cert-Penerbit RFC2253 representasi string dari nama terhormat penerbit (DN) cn = Rootcamtls.com, OU = Rootca, O = MTLS, L = Seattle, ST = Washington, C = AS
CloudFront-Pemirsa-Cert-Subjek RFC2253 representasi string dari nama terhormat subjek (DN) cn=client_.com, OU = klien-3, O = MTLS, ST = Washington, C = AS
CloudFront-Pemirsa-Sertifikat-Hadir Baik 1 (sekarang) atau 0 (tidak ada) yang menunjukkan apakah sertifikat tersebut ada. Nilai ini selalu 1 dalam mode Wajib. 1
CloudFront-Pemirsa-Sert-Sha256 SHA256 Hash dari sertifikat klien 01fbf94fef5569753420c349f49adbfd80af5275377816e3ab1fb371b29cb586

Untuk permintaan asal, dua header tambahan disediakan, selain header di atas tersedia untuk perilaku cache:

Nama header Deskripsi Nilai contoh
CloudFront-Viewer-Cert-Validitas ISO8601 format tanggal NotBefore dan NotAfter CloudFront-Viewer-Cert-Validitas: = 2023-09-21T 01:50:17 Z; = 2024-09-20T 01:50:17 Z NotBefore NotAfter
CloudFront-Pemirsa-Sert-Pem Format PEM yang dikodekan URL dari sertifikat daun CloudFront-Viewer-Cert-Pem: -----MULAI% 20SERTIFIKAT ----- %0AMIIG<... dikurangi... > NmrUlw %0A ----- AKHIR%20SERTIFIKAT ----- %0A

Konfigurasikan penerusan header

Konsol

Dalam mode verifikasi, CloudFront secara otomatis menambahkan header CloudFront-Viewer-Cert -* ke semua permintaan penampil. Untuk meneruskan header ini ke asal Anda:

  1. Dari halaman distribusi daftar utama, pilih distribusi Anda dengan mTL penampil diaktifkan dan buka tab Perilaku

  2. Pilih perilaku cache dan pilih Edit

  3. Di bagian Kebijakan permintaan Asal, pilih Buat kebijakan atau pilih kebijakan yang ada

  4. Pastikan header berikut disertakan dalam kebijakan permintaan asal:

    • CloudFront-Pemirsa Seri-Seri-Nomor

    • CloudFront-Viewer-Cert-Penerbit

    • CloudFront-Pemirsa-Cert-Subjek

    • CloudFront-Pemirsa-Sertifikat-Hadir

    • Cloudfront-Viewer-Cert-Sha256

    • CloudFront-Viewer-Cert-Validitas

    • CloudFront-Pemirsa-Sert-Pem

  5. Pilih Buat (untuk kebijakan baru) atau Simpan perubahan (untuk kebijakan yang ada)

  6. Pilih kebijakan dalam perilaku cache Anda dan simpan perubahan

Menggunakan AWS CLI

Contoh berikut menunjukkan cara membuat kebijakan permintaan asal yang menyertakan header mTLS untuk mode verifikasi:

aws cloudfront create-origin-request-policy \
  --origin-request-policy-config '{
    "Name": "MTLSHeadersPolicy",
    "HeadersConfig": {
      "HeaderBehavior": "whitelist",
      "Headers": {
        "Quantity": 5,
        "Items": [
          "CloudFront-Viewer-Cert-Serial-Number",
          "CloudFront-Viewer-Cert-Issuer",
          "CloudFront-Viewer-Cert-Subject",
          "CloudFront-Viewer-Cert-Validity",
          "CloudFront-Viewer-Cert-Pem"
        ]
      }
    },
    "CookiesConfig": {
      "CookieBehavior": "none"
    },
    "QueryStringsConfig": {
      "QueryStringBehavior": "none"
    }
  }'

Pertimbangan pemrosesan header

Saat bekerja dengan header sertifikat, pertimbangkan praktik terbaik ini:

  • Validasi header: Verifikasi nilai header sertifikat di asal Anda sebagai langkah keamanan tambahan

  • Batas ukuran header: Header sertifikat PEM bisa besar, pastikan server asal Anda dapat menanganinya

  • Pertimbangan cache: Menggunakan header sertifikat di kunci cache Anda meningkatkan fragmentasi cache

  • Permintaan lintas asal: Jika aplikasi Anda menggunakan CORS, Anda mungkin perlu mengonfigurasinya untuk mengizinkan header sertifikat

Langkah selanjutnya

Setelah mengonfigurasi penerusan header, Anda dapat menerapkan pemeriksaan pencabutan sertifikat menggunakan Fungsi Koneksi dan. CloudFront KeyValueStore Untuk detail tentang penerapan pemeriksaan pencabutan, lihat. Pencabutan menggunakan Fungsi CloudFront Koneksi dan KVS