View a markdown version of this page

Visualizza le intestazioni MTLS per le politiche della cache e le inoltra all'origine - Amazon CloudFront
Configura l'inoltro delle intestazioniConsiderazioni sull'elaborazione delle intestazioniFasi successive

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Visualizza le intestazioni MTLS per le politiche della cache e le inoltra all'origine

Quando si utilizza l'autenticazione TLS reciproca, CloudFront è possibile estrarre informazioni dai certificati client e inoltrarle alle origini come intestazioni HTTP. Ciò consente ai server di origine di accedere ai dettagli dei certificati senza implementare la logica di convalida dei certificati.

Le seguenti intestazioni sono disponibili per la creazione di comportamenti di cache:

Nome intestazione Description Valore di esempio Modalità supportate
CloudFront-Viewer-Cert-Serial-Number Rappresentazione esadecimale del numero di serie del certificato 4a:3f:5c:92:d1:e 8:7b:6c Obbligatorio, opzionale, passthrough
CloudFront-Viewer-Cert-Issuer Rappresentazione in formato RFC2253 del nome distinto (DN) dell'emittente CN=rootcamtls.com, OU=RootCA, o=MTLS, L=Seattle, ST=Washington, C=USA Obbligatorio, opzionale, passthrough
CloudFront-Viewer-Cert-Subject Rappresentazione in formato RFC2253 del nome distinto (DN) del soggetto CN=client_.com, OU=Client-3, o=MTLS, ST=Washington, C=US Obbligatorio, opzionale, Passthrough
CloudFront-Viewer-Cert-Present 1 (presente) o 0 (non presente) indica se il certificato è presente. Questo valore è sempre 1 in modalità Obbligatoria. 1 Obbligatorio, Facoltativo, Passthrough
CloudFront-Viewer-Cert-Sha256 L'hash SHA256 del certificato client 01fbf94fef5569753420c349f49adbfd80af5275377816e3ab1fb371b29cb586 Obbligatorio, opzionale, passthrough

Per le richieste di origine, vengono fornite due intestazioni aggiuntive, oltre alle intestazioni precedenti rese disponibili per i comportamenti della cache. A causa della potenziale dimensione dell'intestazione, l' CloudFront-Viewer-Cert-Pem intestazione non è esposta alle funzioni edge (Lambda @Edge o CloudFront Functions) e viene inoltrata solo all'origine.

Nome intestazione Description Valore di esempio Modalità supportate
CloudFront-Viewer-Cert-Validity Formato ISO8601 delle date NotBefore e NotAfter CloudFront-Viewer-Cert-Validity: =2023-09-21; =2024-09-20 NotBefore T01:50:17Z NotAfter T01:50:17Z Obbligatorio, opzionale, Passthrough
CloudFront-Viewer-Cert-Pem URL-encoded Formato PEM del certificato Leaf CloudFront-Viewer-Cert-Pem: -----BEGIN%20CERTIFICATE-----%0AMIIG<... ridotto... : NmrUlw -----INIZIO%20CERTIFICATO-----%0AMIIG %0A-----FINE CERTIFICATO-----%0A Obbligatorio, facoltativo
Client-Cert Certificato Leaf Client-Cert: :MIIG<... ridotto... : NmrUlw :MIIG: Transito
Client-Cert-Chain Non-leaf catena di certificati Client-Cert-Chain: :MIIG<... ridotto... : NmrUlw :MIIG: Transito

Configura l'inoltro delle intestazioni

Console

In modalità di verifica, aggiunge CloudFront automaticamente le intestazioni CloudFront-Viewer-Cert -* a tutte le richieste dei visualizzatori. Per inoltrare queste intestazioni alla tua origine:

  1. Dalla pagina principale delle distribuzioni dell'elenco, seleziona la tua distribuzione con i viewer MTL abilitati e vai alla scheda Comportamenti

  2. Seleziona il comportamento della cache e scegli Modifica

  3. Nella sezione Politica di richiesta Origin, scegli Crea policy o seleziona una policy esistente

  4. Assicurati che le seguenti intestazioni siano incluse nella politica di richiesta di origine:

    • CloudFront-Viewer-Cert-Serial-Number

    • CloudFront-Viewer-Cert-Issuer

    • CloudFront-Viewer-Cert-Subject

    • CloudFront-Viewer-Cert-Present

    • Cloudfront-Viewer-Cert-Sha256

    • CloudFront-Viewer-Cert-Validity

    • CloudFront-Viewer-Cert-Pem

  5. Scegli Crea (per le nuove politiche) o Salva modifiche (per le politiche esistenti)

  6. Seleziona la politica all'interno del comportamento della cache e salva le modifiche

Utilizzo AWS CLI

L'esempio seguente mostra come creare una policy di richiesta di origine che includa intestazioni MTLS per la modalità di verifica:

aws cloudfront create-origin-request-policy \
  --origin-request-policy-config '{
    "Name": "MTLSHeadersPolicy",
    "HeadersConfig": {
      "HeaderBehavior": "whitelist",
      "Headers": {
        "Quantity": 5,
        "Items": [
          "CloudFront-Viewer-Cert-Serial-Number",
          "CloudFront-Viewer-Cert-Issuer",
          "CloudFront-Viewer-Cert-Subject",
          "CloudFront-Viewer-Cert-Validity",
          "CloudFront-Viewer-Cert-Pem"
        ]
      }
    },
    "CookiesConfig": {
      "CookieBehavior": "none"
    },
    "QueryStringsConfig": {
      "QueryStringBehavior": "none"
    }
  }'

Considerazioni sull'elaborazione delle intestazioni

Quando lavori con le intestazioni dei certificati, prendi in considerazione queste best practice:

  • Convalida dell'intestazione: verifica i valori dell'intestazione del certificato all'origine come misura di sicurezza aggiuntiva

  • Limiti di dimensione delle intestazioni: le intestazioni dei certificati PEM possono essere grandi, assicuratevi che il server di origine sia in grado di gestirle

  • Considerazioni sulla cache: l'utilizzo delle intestazioni dei certificati nella chiave della cache aumenta la frammentazione della cache

  • Cross-origin richieste: se l'applicazione utilizza CORS, potrebbe essere necessario configurarla per consentire le intestazioni dei certificati

Fasi successive

Dopo aver configurato l'inoltro delle intestazioni, è possibile implementare il controllo della revoca dei certificati utilizzando Connection Functions e. CloudFront KeyValueStore Per i dettagli sull'implementazione dei controlli di revoca, vedere. Revoca del certificato