その他の設定 - Amazon CloudFront
クライアント証明書の検証オプションのモード認証局のアドバタイズ証明書の有効期限の処理次のステップ

その他の設定

基本的な相互 TLS 認証を有効にした後、追加の設定を構成して、特定のユースケースと要件の認証動作をカスタマイズできます。

クライアント証明書の検証オプションのモード

CloudFront は、提示されたクライアント証明書を検証する代替オプションのクライアント証明書検証モードを提供しますが、証明書を提示しないクライアントへのアクセスを許可します。

オプションモードの動作

  • 有効な証明書を持つクライアントへの接続を許可します (無効な証明書は拒否されます)。

  • 証明書のないクライアントの接続を許可する

  • 単一のディストリビューションを通じて混合クライアント認証シナリオを許可します。

オプションモードは、mTLS 認証への段階的な移行、証明書を持つクライアントと証明書のないクライアントのサポート、レガシークライアントとの下位互換性の維持に最適です。

注記

オプションモードでは、クライアントが証明書を提示しなくても Connection Functions が呼び出されます。これにより、クライアントの IP アドレスのログ記録や、証明書が提示されるかどうかに基づく異なるポリシーの適用などのカスタムロジックを実装できます。

オプションモードを設定するには (コンソール)

  1. ディストリビューション設定で、[全般] タブに移動し、[編集] を選択します。

  2. [接続] コンテナ内の [ビューワー相互認証 (mTLS)] セクションまでスクロールします。

  3. [クライアント証明書の検証モード] で、[オプション] を選択します。

  4. 変更の保存。

オプションモードを設定するには (AWS CLI)

次の例は、オプションモードの設定方法を示しています。


"ViewerMtlsConfig": {
   "Mode": "optional",
   ...other settings
}

認証局のアドバタイズ

AdvertiseTrustStoreCaNames フィールドは、TLS ハンドシェイク中に CloudFront が信頼される CA 名のリストをクライアントに送信するかどうかを制御し、クライアントが該当する証明書を選択するのに役立ちます。

CA のアドバタイズを設定するには (コンソール)

  1. ディストリビューション設定で、[全般] タブに移動し、[編集] を選択します。

  2. [接続] コンテナ内の [ビューワー相互認証 (mTLS)] セクションまでスクロールします。

  3. [トラストストアの CA 名のアドバタイズ] チェックボックスをオンまたはオフにします。

  4. [Save changes] (変更の保存) をクリックします。

CA アドバタイズを設定するには (AWS CLI)

次の例は、CA アドバタイズを有効にする方法を示しています。

"ViewerMtlsConfig": {
   "Mode": "required", // or "optional"
   "TrustStoreConfig": {
      "AdvertiseTrustStoreCaNames": true,
      ...other settings
   } 
}

証明書の有効期限の処理

IgnoreCertificateExpiry プロパティは CloudFront が期限切れのクライアント証明書に応答する方法を決定します。デフォルトでは、CloudFront は期限切れのクライアント証明書を拒否しますが、必要に応じて受け入れるように設定できます。これは通常、すぐに更新できない期限切れの証明書を持つデバイスに対して有効です。

証明書の有効期限の処理を設定するには (コンソール)

  1. ディストリビューション設定で、[全般] タブに移動し、[編集] を選択します。

  2. [接続] コンテナの [ビューワー相互認証 (mTLS)] セクションまでスクロールします。

  3. [証明書の有効期限を無視] チェックボックスを選択または選択解除します。

  4. [Save changes] (変更の保存) をクリックします。

証明書の有効期限の処理を設定するには (AWS CLI)

次の例は、証明書の有効期限を無視する方法を示します。

"ViewerMtlsConfig": {
  "Mode": "required", // or "optional"
  "TrustStoreConfig": {
     "IgnoreCertificateExpiry": false,
     ...other settings
  }
}
注記

IgnoreCertificateExpiry は証明書の有効期限にのみ適用されます。他のすべての証明書検証チェックは引き続き適用されます (信頼チェーン、署名の検証)。

次のステップ

追加の設定を行った後、オリジンに証明書情報を渡すようにヘッダー転送を設定して Connection Functions と KeyValueStore を使用して証明書失効を実装し、モニタリング用の接続ログを有効にすることができます。証明書情報をオリジンに転送する方法の詳細については、「オリジンへヘッダーを転送する」を参照してください。