Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Aktivieren Sie Mutual TLS für Distributionen CloudFront
<a name="enable-mtls-distributions"></a>

## Voraussetzungen und Anforderungen
<a name="mtls-prerequisites-requirements"></a>

CloudFrontIm Modus der gegenseitigen TLS-Überprüfung müssen alle Clients während des TLS-Handshakes gültige Zertifikate vorlegen. Verbindungen ohne gültige Zertifikate werden abgewiesen. Bevor Sie Mutual TLS für eine CloudFront Distribution aktivieren, stellen Sie sicher, dass Sie über Folgendes verfügen:
+ Sie haben einen Trust Store mit Ihren Zertifizierungsstellenzertifikaten erstellt
+ Hat den Trust Store mit Ihrer CloudFront Distribution verknüpft
+ Es wurde sichergestellt, dass für alle Verteilungs-Cache-Verhaltensweisen eine reine HTTPS-Viewer-Protokollrichtlinie verwendet wird
+ Es wurde sichergestellt, dass Ihre Distribution HTTP/2 verwendet (die Standardeinstellung, Viewer-MTLS wird auf HTTP/3 nicht unterstützt)

**Anmerkung**  
Für die gegenseitige TLS-Authentifizierung sind HTTPS-Verbindungen zwischen Zuschauern und erforderlich. CloudFront Sie können mTLS nicht für eine Distribution aktivieren, deren Cache-Verhalten HTTP-Verbindungen unterstützt.

## Aktivieren Sie Mutual TLS (Konsole)
<a name="enable-mtls-console"></a>

### Für neue Distributionen
<a name="enable-mtls-new-distributions"></a>

Viewer-MTLS können beim Erstellen einer neuen Distribution in der CloudFront Konsole nicht konfiguriert werden. Erstellen Sie zuerst die Distribution mit beliebigen Mitteln (Konsole, CLI, API) und bearbeiten Sie dann die Verteilungseinstellungen, um Viewer-MTLS gemäß den nachstehenden Anweisungen für bestehende Distributionen zu aktivieren.

### Für bestehende Distributionen
<a name="enable-mtls-existing-distributions"></a>

1. Melden Sie sich bei an AWS-Managementkonsole und öffnen Sie die CloudFront Konsole unter[https://console.aws.amazon.com/cloudfront/v4/home](https://console.aws.amazon.com/cloudfront/v4/home).

1. Wählen Sie in der Verteilerliste die Distribution aus, die Sie ändern möchten.

1. Stellen Sie sicher, dass die Viewer-Protokollrichtlinie für alle Cache-Verhaltensweisen auf „**HTTP zu HTTPS umleiten****“ oder „Nur HTTPS**“ gesetzt ist. (Sie können die Registerkarte **Cache-Verhalten** auswählen, um alle Cache-Verhaltensweisen mit HTTP-Protokollrichtlinien anzuzeigen und zu aktualisieren.)

1. Wählen Sie die Registerkarte **Allgemein**.

1. Wählen Sie im Abschnitt **Settings** (Einstellungen) die Option **Edit** (Bearbeiten) aus.

1. Suchen Sie im Bereich **Konnektivität** nach **Viewer Mutual Authentication (mTLS)**.

1. Stellen Sie „**Gegenseitige Authentifizierung aktivieren**“ auf „Ein“.

1. Wählen Sie für den **Validierungsmodus für Client-Zertifikate** die Option **Erforderlich** (alle Clients müssen Zertifikate vorlegen) oder **Optional** (Clients können optional Zertifikate vorlegen) aus.

1. Wählen Sie für **Trust Store** Ihren zuvor erstellten Trust Store aus.

1. (Optional) Aktivieren Sie die Option **Vertrauensspeicher-Zertifizierungsstellennamen ankündigen**, wenn Sie während des TLS-Handshakes CA-Namen an Clients senden möchten CloudFront .

1. (Optional) Aktivieren Sie die Option **Ablaufdatum des Zertifikats ignorieren**, wenn Sie Verbindungen mit abgelaufenen Zertifikaten zulassen möchten.

1. Wählen Sie **Änderungen speichern ** aus.

## Mutual TLS (AWS CLI) aktivieren
<a name="enable-mtls-cli"></a>

### Für neue Distributionen
<a name="enable-mtls-cli-new"></a>

Das folgende Beispiel zeigt, wie eine Distributions-Konfigurationsdatei (distribution-config.json) erstellt wird, die mTLS-Einstellungen enthält:

```
{
  "CallerReference": "cli-example-1",
  "Origins": {
    "Quantity": 1,
    "Items": [
      {
        "Id": "my-origin",
        "DomainName": "example.com",
        "CustomOriginConfig": {
          "HTTPPort": 80,
          "HTTPSPort": 443,
          "OriginProtocolPolicy": "https-only"
        }
      }
    ]
  },
  "DefaultCacheBehavior": {
    "TargetOriginId": "my-origin",
    "ViewerProtocolPolicy": "https-only",
    "MinTTL": 0,
    "ForwardedValues": {
      "QueryString": false,
      "Cookies": {
        "Forward": "none"
      }
    }
  },
  "ViewerCertificate": {
    "CloudFrontDefaultCertificate": true
  },
  "ViewerMtlsConfig": {
    "Mode": "required", 
    "TrustStoreConfig": {
        "TrustStoreId": {TRUST_STORE_ID},
        "AdvertiseTrustStoreCaNames": true,
        "IgnoreCertificateExpiry": true
    }
  },
  "Enabled": true
}
```

Erstellen Sie die Distribution mit aktiviertem mTLS mithilfe des folgenden Beispielbefehls:

```
aws cloudfront create-distribution --distribution-config file://distribution-config.json
```

### Für bestehende Distributionen
<a name="enable-mtls-cli-existing"></a>

Rufen Sie die aktuelle Distributionskonfiguration mit dem folgenden Beispielbefehl ab:

```
aws cloudfront get-distribution-config --id E1A2B3C4D5E6F7 --output json > dist-config.json
```

Bearbeiten Sie die Datei, um mTLS-Einstellungen hinzuzufügen. Fügen Sie Ihrer Distributionskonfiguration den folgenden Beispielabschnitt hinzu:

```
"ViewerMtlsConfig": {
    "Mode": "required", 
    "TrustStoreConfig": {
        "TrustStoreId": {TRUST_STORE_ID},
        "AdvertiseTrustStoreCaNames": true,
        "IgnoreCertificateExpiry": true
    }
}
```

Entfernen Sie das ETag Feld aus der Datei, speichern Sie seinen Wert jedoch separat.

Aktualisieren Sie die Distribution mithilfe des folgenden Beispielbefehls mit der neuen Konfiguration:

```
aws cloudfront update-distribution \
    --id E1A2B3C4D5E6F7 \
    --if-match YOUR-ETAG-VALUE \
    --distribution-config file://dist-config.json
```

## Viewer-Protokollrichtlinien
<a name="viewer-protocol-policies"></a>

Bei Verwendung von Mutual TLS müssen alle Verhaltensweisen des Verteilungscaches mit einer reinen HTTPS-Viewer-Protokollrichtlinie konfiguriert werden:
+ **HTTP zu HTTPS umleiten — Leitet** HTTP-Anfragen an HTTPS weiter, bevor die Zertifikatsvalidierung durchgeführt wird.
+ **Nur HTTPS** — Nimmt nur HTTPS-Anfragen an und führt eine Zertifikatsvalidierung durch.

**Anmerkung**  
Die HTTP- und HTTPS-Viewer-Protokollrichtlinie wird bei gegenseitigem TLS nicht unterstützt, da HTTP-Verbindungen keine Zertifikatsvalidierung durchführen können.

## Nächste Schritte
<a name="enable-mtls-next-steps"></a>

Nachdem Sie Viewer TLS auf Ihrer CloudFront Distribution aktiviert haben, können Sie Verbindungsfunktionen zuordnen, um eine benutzerdefinierte Logik zur Zertifikatsvalidierung zu implementieren. Mit Verbindungsfunktionen können Sie die integrierten mTLS-Authentifizierungsfunktionen um benutzerdefinierte Validierungsregeln, Zertifikatssperrprüfungen und Protokollierung erweitern. Einzelheiten zum Erstellen und Zuordnen von Verbindungsfunktionen finden Sie unter. [Ordnen Sie eine CloudFront Verbindungsfunktion zu](connection-functions.md)