Convalida del certificato client (modalità opzionale)Pubblicità dell'Autorità di Certificazione Gestione della scadenza dei certificati Fasi successive

Configurazione di impostazioni aggiuntive

Dopo aver abilitato l'autenticazione TLS reciproca di base, è possibile configurare impostazioni aggiuntive per personalizzare il comportamento di autenticazione per casi d'uso e requisiti specifici.

Convalida del certificato client (modalità opzionale)

CloudFront offre una modalità alternativa di convalida dei certificati client opzionale che convalida i certificati client presentati ma consente l'accesso ai client che non presentano certificati.

Comportamento in modalità opzionale

Concede la connessione ai client con certificati validi (i certificati non validi vengono negati).
Consente la connessione a client senza certificati
Consente scenari di autenticazione client misti tramite un'unica distribuzione.

La modalità opzionale è ideale per la migrazione graduale all'autenticazione MTLS, per supportare client con certificati e client senza certificati o per mantenere la retrocompatibilità con i client legacy.

Nota

In modalità opzionale, le funzioni di connessione vengono ancora richiamate anche quando i client non presentano certificati. Ciò consente di implementare una logica personalizzata come la registrazione degli indirizzi IP dei client o l'applicazione di politiche diverse in base alla presentazione dei certificati.

Per configurare la modalità opzionale (console)

Nelle impostazioni di distribuzione, vai alla scheda Generale, scegli Modifica.
Scorri fino alla sezione Viewer Mutual Authentication (mTLS) all'interno del contenitore Connectivity.
Per la modalità di convalida del certificato Client, seleziona Opzionale.
Salva le modifiche.

Per configurare la modalità opzionale (AWS CLI)

L'esempio seguente mostra come configurare la modalità opzionale:



"ViewerMtlsConfig": {
   "Mode": "optional",
   ...other settings
}

Pubblicità dell'Autorità di Certificazione

Il AdvertiseTrustStoreCaNames campo controlla se CloudFront inviare l'elenco di nomi CA affidabili ai client durante l'handshake TLS, aiutandoli a selezionare il certificato appropriato.

Per configurare CA advertising (Console)

Nelle impostazioni di distribuzione, vai alla scheda Generale, scegli Modifica.
Scorri fino alla sezione Viewer Mutual Authentication (mTLS) all'interno del contenitore Connectivity.
Seleziona o deseleziona la casella di controllo Advertise trust store CA names.
Scegli Save changes (Salva modifiche).

Per configurare la pubblicità CA (AWS CLI)

L'esempio seguente mostra come abilitare la pubblicità CA:


"ViewerMtlsConfig": {
   "Mode": "required", // or "optional"
   "TrustStoreConfig": {
      "AdvertiseTrustStoreCaNames": true,
      ...other settings
   } 
}

Gestione della scadenza dei certificati

La IgnoreCertificateExpiry proprietà determina la modalità di CloudFront risposta ai certificati client scaduti. Per impostazione predefinita, CloudFront rifiuta i certificati client scaduti, ma è possibile configurarlo per accettarli quando necessario. In genere è abilitato per i dispositivi con certificati scaduti che non possono essere aggiornati prontamente.

Per configurare la gestione della scadenza dei certificati (Console)

Nelle impostazioni di distribuzione, vai alla scheda Generale, scegli Modifica.
Scorri fino alla sezione Viewer Mutual Authentication (mTLS) del contenitore Connectivity.
Seleziona o deseleziona la casella di controllo Ignora la data di scadenza del certificato.
Scegli Save changes (Salva modifiche).

Per configurare la gestione della scadenza dei certificati (AWS CLI)

L'esempio seguente mostra come ignorare la scadenza dei certificati:


"ViewerMtlsConfig": {
  "Mode": "required", // or "optional"
  "TrustStoreConfig": {
     "IgnoreCertificateExpiry": false,
     ...other settings
  }
}

Nota

IgnoreCertificateExpirysi applica solo alle date di validità dei certificati. Tutti gli altri controlli di convalida dei certificati sono ancora validi (catena di fiducia, convalida della firma).

Fasi successive

Dopo aver configurato impostazioni aggiuntive, è possibile configurare l'inoltro delle intestazioni per trasmettere le informazioni del certificato alle origini, implementare la revoca dei certificati utilizzando Connection Functions e KeyValueStore abilitare i log di connessione per il monitoraggio. Per i dettagli sull'inoltro delle informazioni sui certificati alle origini, consulta Forward Headers to origin.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Associare una funzione di CloudFront connessione

Visualizza le intestazioni MTLS per le politiche della cache e le inoltrate all'origine