

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Configuration de paramètres supplémentaires
<a name="configuring-additional-settings"></a>

Après avoir activé l'authentification TLS mutuelle de base, vous pouvez configurer des paramètres supplémentaires pour personnaliser le comportement d'authentification en fonction de cas d'utilisation et d'exigences spécifiques.

## Validation du certificat client Mode facultatif
<a name="optional-mode"></a>

CloudFront propose un autre mode facultatif de validation des certificats clients qui valide les certificats clients présentés mais autorise l'accès aux clients qui ne présentent pas de certificats.

### Comportement du mode facultatif
<a name="optional-mode-behavior"></a>
+ Accorde la connexion aux clients dotés de certificats valides (les certificats non valides sont refusés).
+ Permet la connexion aux clients sans certificat
+ Permet des scénarios d'authentification client mixtes via une distribution unique.

Le mode optionnel est idéal pour la migration progressive vers l'authentification mTLS, la prise en charge des clients détenteurs de certificats et des clients dépourvus de certificats, ou le maintien de la rétrocompatibilité avec les anciens clients.

**Note**  
En mode facultatif, les fonctions de connexion sont toujours invoquées même lorsque les clients ne présentent pas de certificats. Cela vous permet d'implémenter une logique personnalisée telle que la journalisation des adresses IP des clients ou l'application de politiques différentes en fonction de la présentation des certificats.

### Pour configurer le mode facultatif (console)
<a name="configure-optional-mode-console"></a>

1. Dans vos paramètres de distribution, accédez à l'onglet **Général**, puis choisissez **Modifier**.

1. Accédez à la section **Authentification mutuelle (mTLS) du visualiseur** dans le conteneur de **connectivité**.

1. Pour **le mode de validation du certificat client**, sélectionnez **Facultatif**.

1. Enregistrez les modifications.

### Pour configurer le mode facultatif (AWS CLI)
<a name="configure-optional-mode-cli"></a>

L'exemple suivant montre comment configurer le mode facultatif :

```
"ViewerMtlsConfig": {
   "Mode": "optional",
   ...other settings
}
```

## Publicité de l'autorité de certification
<a name="ca-advertisement"></a>

Le AdvertiseTrustStoreCaNames champ contrôle si CloudFront la liste des noms d'autorités de certification fiables est envoyée aux clients lors de la prise de contact TLS, afin d'aider les clients à sélectionner le certificat approprié.

### Pour configurer la publicité CA (console)
<a name="configure-ca-advertisement-console"></a>

1. Dans vos paramètres de distribution, accédez à l'onglet **Général**, puis choisissez **Modifier**.

1. Accédez à la section **Authentification mutuelle (mTLS) du visualiseur** dans le conteneur de **connectivité**.

1. Cochez ou désélectionnez la case **Advertise Trust Store CA names**.

1. Sélectionnez **Enregistrer les modifications**.

### Pour configurer la publicité CA (AWS CLI)
<a name="configure-ca-advertisement-cli"></a>

L'exemple suivant montre comment activer la publicité CA :

```
"ViewerMtlsConfig": {
   "Mode": "required", // or "optional"
   "TrustStoreConfig": {
      "AdvertiseTrustStoreCaNames": true,
      ...other settings
   } 
}
```

## Gestion de l'expiration des certificats
<a name="certificate-expiration-handling"></a>

La IgnoreCertificateExpiry propriété détermine le mode CloudFront de réponse aux certificats clients expirés. Par défaut, CloudFront rejette les certificats clients expirés, mais vous pouvez le configurer pour les accepter si nécessaire. Ceci est généralement activé pour les appareils dont les certificats ont expiré et qui ne peuvent pas être facilement mis à jour.

### Pour configurer la gestion de l'expiration des certificats (console)
<a name="configure-expiration-console"></a>

1. Dans vos paramètres de distribution, accédez à l'onglet **Général**, puis choisissez **Modifier**.

1. Accédez à la section **Authentification mutuelle (mTLS) Viewer** du conteneur de **connectivité**.

1. Cochez ou désélectionnez la case **Ignorer la date d'expiration du certificat**.

1. Sélectionnez **Enregistrer les modifications**.

### Pour configurer la gestion de l'expiration des certificats (AWS CLI)
<a name="configure-expiration-cli"></a>

L'exemple suivant montre comment ignorer l'expiration d'un certificat :

```
"ViewerMtlsConfig": {
  "Mode": "required", // or "optional"
  "TrustStoreConfig": {
     "IgnoreCertificateExpiry": false,
     ...other settings
  }
}
```

**Note**  
**IgnoreCertificateExpiry**ne s'applique qu'aux dates de validité des certificats. Tous les autres contrôles de validation des certificats s'appliquent toujours (chaîne de confiance, validation de signature).

## Étapes suivantes
<a name="additional-settings-next-steps"></a>

Après avoir configuré des paramètres supplémentaires, vous pouvez configurer le transfert d'en-têtes pour transmettre les informations de certificat à vos origines, implémenter la révocation des certificats à l'aide des fonctions de connexion et KeyValueStore activer les journaux de connexion à des fins de surveillance. Pour plus de détails sur le transfert des informations de certificat vers les origines, voir [Transférer les en-têtes vers les origines](viewer-mtls-headers.md).