Visualizza le intestazioni MTLS per le politiche della cache e le inoltra all'origine - Amazon CloudFront
Configura l'inoltro degli headerConsiderazioni sull'elaborazione delle intestazioniFasi successive

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Visualizza le intestazioni MTLS per le politiche della cache e le inoltra all'origine

Quando si utilizza l'autenticazione TLS reciproca, CloudFront è possibile estrarre informazioni dai certificati client e inoltrarle alle origini come intestazioni HTTP. Ciò consente ai server di origine di accedere ai dettagli dei certificati senza implementare la logica di convalida dei certificati.

Le seguenti intestazioni sono disponibili per la creazione di comportamenti di cache:

Nome intestazione Description Valore di esempio
CloudFront-Viewer-Cert-Serial-Number Rappresentazione esadecimale del numero di serie del certificato 4a:3f:5c:92:d1:e 8:7b:6c
CloudFront-Viewer-Cert-Emittente RFC2253 rappresentazione in formato stringa del nome distinto (DN) dell'emittente CN=rootcamtls.com, OU=RootCA, o=MTLS, L=Seattle, ST=Washington, C=USA
CloudFront-Viewer-Cert-Subject RFC2253 rappresentazione in formato stringa del nome distinto (DN) del soggetto CN=client_.com, OU=Client-3, o=MTLS, ST=Washington, C=US
CloudFront-Viewer-Cert-Present 1 (presente) o 0 (non presente) indica se il certificato è presente. Questo valore è sempre 1 in modalità Obbligatoria. 1
CloudFront-Viewer-Cert-Sha256 L'hash del certificato client SHA256 01fbf94fef5569753420c349f49adbfd80af5275377816e3ab1fb371b29cb586

Per le richieste di origine, vengono fornite due intestazioni aggiuntive, oltre alle intestazioni sopra riportate rese disponibili per i comportamenti della cache:

Nome intestazione Description Valore di esempio
CloudFront-Viewer-Cert-Validity ISO8601 formato della data NotBefore e NotAfter CloudFront-Viewer-Cert-Validity: =2023-09-21T 01:50:17 Z; =2024-09-20T 01:50:17 Z NotBefore NotAfter
CloudFront-Viewer-Cert-Pem Formato PEM con codifica URL del certificato leaf CloudFront-Viewer-Cert-Pem: -----BEGIN%20CERTIFICATE-----%0AMIIG<... ridotto... -Viewer-Cert-Pem: -----INIZIO%20CERTIFICATO-----%0AMIIG NmrUlw %0A-----FINE%20CERTIFICATO-----%0A

Configura l'inoltro degli header

Console

In modalità di verifica, aggiunge CloudFront automaticamente le intestazioni CloudFront-Viewer-Cert -* a tutte le richieste dei visualizzatori. Per inoltrare queste intestazioni alla tua origine:

  1. Dalla pagina principale delle distribuzioni dell'elenco, seleziona la tua distribuzione con i viewer MTL abilitati e vai alla scheda Comportamenti

  2. Seleziona il comportamento della cache e scegli Modifica

  3. Nella sezione Politica di richiesta Origin, scegli Crea policy o seleziona una policy esistente

  4. Assicurati che le seguenti intestazioni siano incluse nella politica di richiesta di origine:

    • CloudFront-Viewer-Cert-Serial-Number

    • CloudFront-Viewer-Cert-Issuer

    • CloudFront-Viewer-Cert-Subject

    • CloudFront-Viewer-Cert-Present

    • Cloudfront-Viewer-Cert-Sha256

    • CloudFront-Viewer-Cert-Validity

    • CloudFront-Visualizzatore-Cert-Pem

  5. Scegli Crea (per le nuove politiche) o Salva modifiche (per le politiche esistenti)

  6. Seleziona la politica all'interno del comportamento della cache e salva le modifiche

Utilizzo della AWS CLI

L'esempio seguente mostra come creare una policy di richiesta di origine che includa le intestazioni MTL per la modalità di verifica:

aws cloudfront create-origin-request-policy \
  --origin-request-policy-config '{
    "Name": "MTLSHeadersPolicy",
    "HeadersConfig": {
      "HeaderBehavior": "whitelist",
      "Headers": {
        "Quantity": 5,
        "Items": [
          "CloudFront-Viewer-Cert-Serial-Number",
          "CloudFront-Viewer-Cert-Issuer",
          "CloudFront-Viewer-Cert-Subject",
          "CloudFront-Viewer-Cert-Validity",
          "CloudFront-Viewer-Cert-Pem"
        ]
      }
    },
    "CookiesConfig": {
      "CookieBehavior": "none"
    },
    "QueryStringsConfig": {
      "QueryStringBehavior": "none"
    }
  }'

Considerazioni sull'elaborazione delle intestazioni

Quando lavori con le intestazioni dei certificati, prendi in considerazione queste best practice:

  • Convalida dell'intestazione: verifica i valori dell'intestazione del certificato all'origine come misura di sicurezza aggiuntiva

  • Limiti di dimensione delle intestazioni: le intestazioni dei certificati PEM possono essere grandi, assicuratevi che il server di origine sia in grado di gestirle

  • Considerazioni sulla cache: l'utilizzo delle intestazioni dei certificati nella chiave della cache aumenta la frammentazione della cache

  • Richieste provenienti da più origini: se l'applicazione utilizza CORS, potrebbe essere necessario configurarla per consentire le intestazioni dei certificati

Fasi successive

Dopo aver configurato l'inoltro delle intestazioni, è possibile implementare il controllo della revoca dei certificati utilizzando Connection Functions e. CloudFront KeyValueStore Per i dettagli sull'implementazione dei controlli di revoca, vedere. Revoca tramite CloudFront Connection Function e KVS