Cos'è un trust store?Supporto dell'Autorità di Certificazione Requisiti e specifiche del certificato Crea un trust store Associa trust store alle distribuzioni Gestisci gli archivi di fiducia

Archivi di fiducia e gestione dei certificati

La creazione e la configurazione di un trust store è un requisito obbligatorio per l'implementazione dell'autenticazione TLS reciproca con. CloudFront I trust store contengono i certificati Certificate Authority (CA) CloudFront utilizzati per convalidare i certificati client durante il processo di autenticazione.

Cos'è un trust store?

Un trust store è un archivio di certificati CA CloudFront utilizzato per convalidare i certificati client durante l'autenticazione TLS reciproca. Gli archivi di fiducia contengono i certificati CA root e intermedi che costituiscono la catena di fiducia per l'autenticazione dei certificati client.

Quando si implementa il TLS reciproco con CloudFront, il trust store definisce le autorità di certificazione attendibili per l'emissione di certificati client validi. CloudFront convalida ogni certificato client confrontandolo con il trust store durante l'handshake TLS. Solo i client che presentano certificati collegati a uno dei certificati presenti CAs nel tuo trust store verranno autenticati correttamente.

I trust store in CloudFront sono risorse a livello di account che puoi associare a più distribuzioni. Ciò consente di mantenere politiche di convalida dei certificati coerenti durante l'intera CloudFront distribuzione, semplificando al contempo la gestione dei certificati CA.

Supporto dell'Autorità di Certificazione

CloudFront supporta i certificati emessi da autorità di certificazione AWS private e autorità di certificazione private di terze parti. Questa flessibilità consente di utilizzare l'infrastruttura di certificazione esistente o di sfruttare i servizi di certificazione AWS gestiti in base ai requisiti organizzativi.

AWS Autorità di certificazione privata: è possibile utilizzare i certificati emessi da AWS Private CA, che fornisce un servizio gestito di autorità di certificazione privata. Questa integrazione semplifica la gestione del ciclo di vita dei certificati e offre una perfetta integrazione con altri servizi. AWS
Autorità di certificazione private di terze parti: puoi anche utilizzare i certificati della tua infrastruttura di autorità di certificazione privata esistente, inclusi fornitori di certificati aziendali CAs o di altri fornitori di certificati di terze parti. Ciò consente di mantenere gli attuali processi di gestione dei certificati aggiungendo CloudFront al contempo le funzionalità mTLS.

Requisiti e specifiche del certificato

I trust store hanno requisiti specifici per i certificati CA che contengono:

Requisiti di formato dei certificati CA

Formato: formato PEM (Privacy Enhanced Mail)
Limiti del contenuto: i certificati devono essere racchiusi entro i limiti -----BEGIN CERTIFICATE----- e -----END CERTIFICATE-----
Commenti: deve essere preceduto da un carattere # e non può contenere alcun carattere -
Interruzioni di riga: non sono consentite righe vuote tra i certificati

Specifiche dei certificati supportate

Tipo di certificato: X.509v3
Tipi di chiavi pubbliche:
- RSA 2048, RSA 4096
- ECDSA: secp256r1, secp384r1
Algoritmi di firma:
- SHA256 SHA384, SHA512 con RSA
- SHA256 SHA384, SHA512 con EC
- SHA256 SHA384, SHA512 con RASSA-PSS con MGF1

Esempio di formato del pacchetto di certificati

Certificati multipli (con codifica PEM):


# Root CA Certificate
-----BEGIN CERTIFICATE-----
MIIDXTCCAkWgAwIBAgIJAKoK/OvD/XqiMA0GCSqGSIb3DQEBCwUAMEUxCzAJBgNV
BAYTAkFVMRMwEQYDVQQIDApTb21lLVN0YXRlMSEwHwYDVQQKDBhJbnRlcm5ldCBX
aWRnaXRzIFB0eSBMdGQwHhcNMTcwNzEyMTU0NzQ4WhcNMjcwNzEwMTU0NzQ4WjBF
MQswCQYDVQQGEwJBVTETMBEGA1UECAwKU29tZS1TdGF0ZTEhMB8GA1UECgwYSW50
ZXJuZXQgV2lkZ2l0cyBQdHkgTHRkMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIB
CgKCAQEAuuExKvY1xzHFylsHiuowqpmzs7rEcuuylOuEszpFp+BtXh0ZuEtts9LP
-----END CERTIFICATE-----
# Intermediate CA Certificate
-----BEGIN CERTIFICATE-----
MIIDXTCCAkWgAwIBAgIJAKoK/OvD/XqjMA0GCSqGSIb3DQEBCwUAMEUxCzAJBgNV
BAYTAkFVMRMwEQYDVQQIDApTb21lLVN0YXRlMSEwHwYDVQQKDBhJbnRlcm5ldCBX
aWRnaXRzIFB0eSBMdGQwHhcNMTcwNzEyMTU0NzQ4WhcNMjcwNzEwMTU0NzQ4WjBF
MQswCQYDVQQGEwJBVTETMBEGA1UECAwKU29tZS1TdGF0ZTEhMB8GA1UECgwYSW50
ZXJuZXQgV2lkZ2l0cyBQdHkgTHRkMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIB
CgKCAQEAuuExKvY1xzHFylsHiuowqpmzs7rEcuuylOuEszpFp+BtXh0ZuEtts9LP
-----END CERTIFICATE-----

Crea un trust store

Prima di creare un trust store, devi caricare il tuo pacchetto di certificati CA in formato PEM in un bucket Amazon S3. Il pacchetto di certificati deve contenere tutti i certificati CA root e intermedi affidabili necessari per convalidare i certificati client.

Il pacchetto di certificati CA viene letto solo una volta da S3 durante la creazione di un trust store. Se verranno apportate modifiche future al pacchetto di certificati CA, il trust store dovrà essere aggiornato manualmente. Non viene mantenuta alcuna sincronizzazione tra il trust store e il pacchetto di certificati CA S3.

Prerequisiti

Un pacchetto di certificati della tua Certificate Authority (CA) caricato in un bucket Amazon S3
Le autorizzazioni necessarie per creare risorse CloudFront

Per creare un trust store (Console)

Accedi a Console di gestione AWS e apri la CloudFront console all'indirizzohttps://console.aws.amazon.com/cloudfront/v4/home.
Nel pannello di navigazione, scegli Trust stores.
Scegli Create Trust Store.
Per il nome del Trust Store, inserisci un nome per il tuo Trust Store.
Per il pacchetto Certificate Authority (CA), inserisci il percorso Amazon S3 del tuo pacchetto di certificati CA in formato PEM.
Scegli Create trust store.

Per creare un trust store (AWS CLI)


aws cloudfront create-trust-store \
  --name MyTrustStore \
  --certificate-authority-bundle-s3-location Bucket=my-bucket,Key=ca-bundle.pem \
  --tags Items=[{Key=Environment,Value=Production}]

Associa trust store alle distribuzioni

Dopo aver creato un trust store, è necessario associarlo a una CloudFront distribuzione per abilitare l'autenticazione TLS reciproca.

Prerequisiti

Una CloudFront distribuzione esistente con la politica del protocollo di visualizzazione solo HTTPS abilitata e HTTP3 il supporto disabilitato.

Per associare un trust store (Console)

Esistono due modi per associare un trust store all'interno della CloudFront console: tramite la pagina dei dettagli del trust store o tramite la pagina delle impostazioni di distribuzione.

Associare un trust store tramite la pagina dei dettagli del trust store:

Accedi a Console di gestione AWS e apri la CloudFront console all'indirizzohttps://console.aws.amazon.com/cloudfront/v4/home.
Nel pannello di navigazione, scegli Trust stores.
Scegli il nome del trust store che desideri associare.
Scegli Associa alla distribuzione.
Configura le opzioni Viewer MTLs disponibili:
- Modalità di convalida del certificato client: scegli tra la modalità obbligatoria e quella opzionale. Nella modalità richiesta, tutti i client devono presentare i certificati. In modalità opzionale, i client che presentano certificati vengono convalidati, mentre ai client che non presentano certificati è consentito l'accesso.
- Pubblicizza i nomi delle CA del trust store: scegli se pubblicizzare i nomi delle CA nel tuo trust store ai clienti durante l'handshake TLS.
- Ignora la data di scadenza del certificato: scegli se consentire le connessioni con certificati scaduti (valgono ancora altri criteri di convalida).
- Funzione di connessione: una funzione di connessione opzionale può essere associata alle allow/deny connessioni basate su altri criteri personalizzati.
Seleziona una o più distribuzioni da associare al trust store. Solo le distribuzioni con comportamenti di cache HTTP3 disabilitati e con comportamento di cache basato solo su HTTPS possono supportare Viewer MTL.
Selezionare Associate (Associa).

Associazione di un trust store tramite la pagina delle impostazioni di distribuzione:

Accedi a Console di gestione AWS e apri la CloudFront console all'indirizzohttps://console.aws.amazon.com/cloudfront/v4/home.
Seleziona la distribuzione che desideri associare
Nella scheda Generale, all'interno del contenitore Impostazioni, scegli Modifica nell'angolo in alto a destra
Scorri verso il basso fino alla fine della pagina, all'interno del contenitore Connectivity, attiva l'opzione Viewer MTLs
Configura le opzioni Viewer MTLs disponibili:
- Modalità di convalida del certificato client: scegli tra la modalità obbligatoria e quella opzionale. Nella modalità richiesta, tutti i client devono presentare i certificati. In modalità opzionale, i client che presentano certificati vengono convalidati, mentre ai client che non presentano certificati è consentito l'accesso.
- Pubblicizza i nomi delle CA del trust store: scegli se pubblicizzare i nomi delle CA nel tuo trust store ai clienti durante l'handshake TLS.
- Ignora la data di scadenza del certificato: scegli se consentire le connessioni con certificati scaduti (valgono ancora altri criteri di convalida).
- Funzione di connessione: una funzione di connessione opzionale può essere associata alle allow/deny connessioni basate su altri criteri personalizzati.
Scegli Salva modifiche nell'angolo in basso a destra.

Per associare un trust store (AWS CLI)

I trust store possono essere associati alle distribuzioni tramite. DistributionConfig ViewerMtlsConfig proprietà. Ciò significa che dobbiamo prima recuperare la configurazione della distribuzione e poi fornirla ViewerMtlsConfig in una richiesta successiva UpdateDistribution .


// First fetch the distribution
aws cloudfront get-distribution {DISTRIBUTION_ID}

// Update the distribution config, for example:
Distribution config, file://distConf.json: 
{
  ...other fields,
  ViewerMtlsConfig: {
    Mode: 'required',
    TrustStoreConfig: {
        AdvertiseTrustStoreCaNames: false,
        IgnoreCertificateExpiry: true,
        TrustStoreId: {TRUST_STORE_ID}
    }
  }
}

aws cloudfront update-distribution \
   --id {DISTRIBUTION_ID} \
   --if-match {ETAG} \
   --distribution-config file://distConf.json

Gestisci gli archivi di fiducia

Visualizza i dettagli del Trust Store

Accedi Console di gestione AWS e apri la CloudFront console all'indirizzohttps://console.aws.amazon.com/cloudfront/v4/home.
Nel pannello di navigazione, scegli Trust stores.
Scegli il nome del trust store per visualizzarne la pagina dei dettagli.

La pagina dei dettagli mostra:

Nome e ID del Trust Store
Numero di certificati CA
Data di creazione e data dell'ultima modifica
Distribuzioni associate
Tag

Modificare un trust store

Per sostituire il pacchetto di certificati CA:

Accedi a Console di gestione AWS e apri la CloudFront console all'indirizzohttps://console.aws.amazon.com/cloudfront/v4/home.
Nel pannello di navigazione, scegli Trust stores.
Scegli il nome del trust store.
Scegli Azioni, quindi Modifica.
Per il pacchetto Certificate Authority (CA), inserisci la posizione Amazon S3 del file PEM del pacchetto CA aggiornato.
Scegli Update trust store.

Elimina un trust store

Prerequisiti: è innanzitutto necessario dissociare il trust store da tutte le CloudFront distribuzioni.

Accedi a Console di gestione AWS e apri la console all' CloudFront indirizzo. https://console.aws.amazon.com/cloudfront/v4/home
Nel pannello di navigazione, scegli Trust stores.
Scegli il nome del trust store.
Scegli Elimina trust store.
Seleziona Elimina per confermare.

Fasi successive

Dopo aver creato e associato il tuo trust store a una CloudFront distribuzione, puoi procedere ad abilitare l'autenticazione TLS reciproca sulla tua distribuzione e configurare impostazioni aggiuntive come l'inoltro delle intestazioni dei certificati alle tue origini. Per istruzioni dettagliate sull'abilitazione degli MTL sulle distribuzioni, consulta. Abilita il TLS reciproco per le distribuzioni CloudFront

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Autenticazione TLS reciproca con CloudFront (Viewer mTLS)

Abilita il TLS reciproco per le distribuzioni CloudFront