Anúncio da autoridade de certificação Tratamento de expiração de certificados Próximas etapas

Definir configurações adicionais

Após a habilitação da autenticação TLS mútua básica, é possível definir configurações adicionais para personalizar o comportamento da autenticação para casos de uso e requisitos específicos.

Anúncio da autoridade de certificação

O campo AdvertiseTrustStoreCaNames controla se o CloudFront envia a lista de nomes de CA confiáveis aos clientes durante o handshake do TLS, ajudando os clientes a selecionar o certificado apropriado.

Como configurar o anúncio da CA (console)

Nas configurações de distribuição, acesse a guia Geral e escolha Editar.
Role até a seção Autenticação mútua (mTLS) de visualizador no contêiner Conectividade.
Marque ou desmarque a caixa de seleção Anunciar nomes de CA do armazenamento confiável.
Escolha Salvar alterações.

Como configurar o anúncio da CA (AWS CLI)

O seguinte exemplo mostra como habilitar o anúncio da CA:


"ViewerMtlsConfig": {
   "Mode": "required", // or "optional"
   "TrustStoreConfig": {
      "AdvertiseTrustStoreCaNames": true,
      ...other settings
   } 
}

Tratamento de expiração de certificados

A propriedade IgnoreCertificateExpiry determina como o CloudFront responde a certificados de cliente expirados. Por padrão, o CloudFront rejeita certificados de clientes expirados, mas é possível configurá-lo para aceitá-los quando necessário. Normalmente, essa opção é habilitada para dispositivos com certificados expirados que não podem ser atualizados imediatamente.

Como configurar o tratamento de expiração de certificados (console)

Nas configurações de distribuição, acesse a guia Geral e escolha Editar.
Role até a seção Autenticação mútua (mTLS) de visualizador no contêiner Conectividade.
Marque ou desmarque a caixa de seleção Ignorar a data de expiração do certificado.
Escolha Salvar alterações.

Como configurar o tratamento de expiração de certificados (AWS CLI)

O seguinte exemplo mostra como ignorar a expiração de certificados:


"ViewerMtlsConfig": {
  "Mode": "required", // or "optional"
  "TrustStoreConfig": {
     "IgnoreCertificateExpiry": false,
     ...other settings
  }
}

nota

IgnoreCertificateExpiry aplica-se somente à data de validade dos certificados. Todas as outras verificações de validação de certificados ainda se aplicam (como cadeia de confiança e validação de assinatura).

Próximas etapas

Depois de definir as configurações adicionais, você pode configurar o encaminhamento de cabeçalhos transmitir as informações do certificado às suas origens, implementar a revogação do certificado usando as funções de conexão e o KeyValueStore e habilitar os logs de conexão para monitoramento. Para ver detalhes sobre como encaminhar as informações do certificado às origens, consulte Encaminhar cabeçalhos às origens.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Associar uma função de conexão do CloudFront

Cabeçalhos mTLS de visualizador para políticas de cache e encaminhados à origem