View a markdown version of this page

配置其他设置 - Amazon CloudFront
证书颁发机构公告证书到期处理后续步骤
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

配置其他设置

启用基本双向 TLS 身份验证后,您可以配置其他设置,针对特定使用案例和要求来自定义身份验证行为。

证书颁发机构公告

AdvertiseTrustStoreCaNames 字段可控制 CloudFront 是否在 TLS 握手过程中向客户端发送可信 CA 名称列表,从而帮助客户端选择适当的证书。

配置 CA 公告(控制台)

  1. 在分配设置中,导航至常规选项卡,选择编辑

  2. 滚动到连接性容器中的查看器双向身份验证(mTLS) 部分。

  3. 选中或取消选中公布信任存储 CA 名称复选框。

  4. 选择保存更改

配置 CA 公告(Amazon CLI)

以下示例演示如何启用 CA 公告:

"ViewerMtlsConfig": {
   "Mode": "required", // or "optional"
   "TrustStoreConfig": {
      "AdvertiseTrustStoreCaNames": true,
      ...other settings
   } 
}

证书到期处理

IgnoreCertificateExpiry 属性决定 CloudFront 对到期的客户端证书的响应方式。默认情况下,CloudFront 会拒绝到期的客户端证书,但您可将其配置为在必要时接受此类证书。对于证书已到期且无法即刻更新的设备,通常会启用此配置。

配置证书到期处理(控制台)

  1. 在分配设置中,导航至常规选项卡,选择编辑

  2. 滚动到连接性容器的查看器双向身份验证(mTLS) 部分。

  3. 选中或取消选中忽略证书到期日期复选框。

  4. 选择保存更改

配置证书到期处理(Amazon CLI)

以下示例演示如何忽略证书到期情况:

"ViewerMtlsConfig": {
  "Mode": "required", // or "optional"
  "TrustStoreConfig": {
     "IgnoreCertificateExpiry": false,
     ...other settings
  }
}
注意

IgnoreCertificateExpiry 仅适用于证书有效日期。所有其他证书验证检查仍将适用(信任链、签名验证)。

后续步骤

配置其他设置后,您可以设置标头转发以将证书信息传递至源,使用连接函数和 KeyValueStore 实施证书吊销,并启用连接日志以进行监控。有关将证书信息转发至源的详细信息,请参阅将标头转发到源