双向 TLS（mTLS）查看器

双向 TLS 身份验证（双向传输层安全身份验证，mTLS）是一种安全协议，它在标准 TLS 身份验证的基础上进行了扩展，要求进行基于证书的双向身份验证，在该机制下，客户端与服务器必须先证实自己的身份，然后才能建立安全连接。借助双向 TLS，您可以确保只有提供了可信 TLS 证书的客户端，才能获得对 CloudFront 分配的访问权限。

工作原理

在标准 TLS 握手过程中，只有服务器需要提供证书来向客户端证明其身份。借助双向 TLS，身份验证过程会变为双向验证。当客户端尝试连接到您的 CloudFront 分配时，CloudFront 会在 TLS 握手过程中请求客户端证书。在建立安全连接之前，客户端必须提供有效的 X.509 证书，CloudFront 会根据您配置的信任存储来验证该证书。

CloudFront 在 AWS 边缘站点执行此证书验证操作，这既能将身份验证的复杂性从原始服务器中剥离，又能保留 CloudFront 的全球性能优势。您可以在两种模式下配置 mTLS：验证模式（要求所有客户端提供有效证书）或可选模式（在客户端提供证书时对证书进行验证，但也允许无证书的连接）。

使用案例

CloudFront 的双向 TLS 身份验证可应对传统身份验证方法难以满足需求的关键安全场景：

使用内容缓存进行设备身份验证：您可以要求游戏主机、IoT 设备或公司硬件需先通过身份验证，之后才能访问固件更新、游戏下载资源或内部资源。每台设备均包含一个唯一证书，该证书既能证明设备的真实性，又能获益于 CloudFront 的缓存功能。
API 到 API 身份验证：可用于保障可信业务合作伙伴之间、支付系统之间或微服务之间的机器对机器通信的安全。基于证书的身份验证不仅消除了对共享密钥或 API 密钥的需求，而且为自动化数据交换提供了强大的身份验证能力。

主题

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

将使用专用 IP 地址的自定义 SSL/TLS 证书切换到 SNI

信任存储和证书管理