Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Configurazione di impostazioni aggiuntive
<a name="configuring-additional-settings"></a>

Dopo aver abilitato l'autenticazione TLS reciproca di base, è possibile configurare impostazioni aggiuntive per personalizzare il comportamento di autenticazione per casi d'uso e requisiti specifici.

## Convalida del certificato client (modalità opzionale)
<a name="optional-mode"></a>

CloudFront offre una modalità alternativa di convalida dei certificati client opzionale che convalida i certificati client presentati ma consente l'accesso ai client che non presentano certificati.

### Comportamento in modalità opzionale
<a name="optional-mode-behavior"></a>
+ Concede la connessione ai client con certificati validi (i certificati non validi vengono negati).
+ Consente la connessione a client senza certificati
+ Consente scenari di autenticazione client misti tramite un'unica distribuzione.

La modalità opzionale è ideale per la migrazione graduale all'autenticazione MTLS, per supportare client con certificati e client senza certificati o per mantenere la retrocompatibilità con i client legacy.

**Nota**  
In modalità opzionale, le funzioni di connessione vengono ancora richiamate anche quando i client non presentano certificati. Ciò consente di implementare una logica personalizzata come la registrazione degli indirizzi IP dei client o l'applicazione di politiche diverse in base alla presentazione dei certificati.

### Per configurare la modalità opzionale (console)
<a name="configure-optional-mode-console"></a>

1. Nelle impostazioni di distribuzione, vai alla scheda **Generale**, scegli **Modifica**.

1. Scorri fino alla sezione **Viewer Mutual Authentication (mTLS)** all'interno del contenitore **Connectivity**.

1. **Per la **modalità di convalida del certificato Client**, seleziona Opzionale.**

1. Salva le modifiche.

### Per configurare la modalità opzionale (AWS CLI)
<a name="configure-optional-mode-cli"></a>

L'esempio seguente mostra come configurare la modalità opzionale:

```
"ViewerMtlsConfig": {
   "Mode": "optional",
   ...other settings
}
```

## Pubblicità dell'Autorità di Certificazione
<a name="ca-advertisement"></a>

Il AdvertiseTrustStoreCaNames campo controlla se CloudFront inviare l'elenco di nomi CA affidabili ai client durante l'handshake TLS, aiutandoli a selezionare il certificato appropriato.

### Per configurare CA advertising (Console)
<a name="configure-ca-advertisement-console"></a>

1. Nelle impostazioni di distribuzione, vai alla scheda **Generale**, scegli **Modifica**.

1. Scorri fino alla sezione **Viewer Mutual Authentication (mTLS)** all'interno del contenitore **Connectivity**.

1. Seleziona o deseleziona la casella di controllo **Advertise trust store CA names**.

1. Scegli **Save changes** (Salva modifiche).

### Per configurare la pubblicità CA (AWS CLI)
<a name="configure-ca-advertisement-cli"></a>

L'esempio seguente mostra come abilitare la pubblicità CA:

```
"ViewerMtlsConfig": {
   "Mode": "required", // or "optional"
   "TrustStoreConfig": {
      "AdvertiseTrustStoreCaNames": true,
      ...other settings
   } 
}
```

## Gestione della scadenza dei certificati
<a name="certificate-expiration-handling"></a>

La IgnoreCertificateExpiry proprietà determina la modalità di CloudFront risposta ai certificati client scaduti. Per impostazione predefinita, CloudFront rifiuta i certificati client scaduti, ma è possibile configurarlo per accettarli quando necessario. In genere è abilitato per i dispositivi con certificati scaduti che non possono essere aggiornati prontamente.

### Per configurare la gestione della scadenza dei certificati (Console)
<a name="configure-expiration-console"></a>

1. Nelle impostazioni di distribuzione, vai alla scheda **Generale**, scegli **Modifica**.

1. Scorri fino alla sezione **Viewer Mutual Authentication (mTLS)** del contenitore **Connectivity**.

1. Seleziona o deseleziona la casella di controllo **Ignora la data di scadenza del certificato**.

1. Scegli **Save changes** (Salva modifiche).

### Per configurare la gestione della scadenza dei certificati (AWS CLI)
<a name="configure-expiration-cli"></a>

L'esempio seguente mostra come ignorare la scadenza dei certificati:

```
"ViewerMtlsConfig": {
  "Mode": "required", // or "optional"
  "TrustStoreConfig": {
     "IgnoreCertificateExpiry": false,
     ...other settings
  }
}
```

**Nota**  
**IgnoreCertificateExpiry**si applica solo alle date di validità dei certificati. Tutti gli altri controlli di convalida dei certificati sono ancora validi (catena di fiducia, convalida della firma).

## Fasi successive
<a name="additional-settings-next-steps"></a>

Dopo aver configurato impostazioni aggiuntive, è possibile configurare l'inoltro delle intestazioni per trasmettere le informazioni del certificato alle origini, implementare la revoca dei certificati utilizzando Connection Functions e KeyValueStore abilitare i log di connessione per il monitoraggio. [Per i dettagli sull'inoltro delle informazioni sui certificati alle origini, consulta Forward Headers to origin.](viewer-mtls-headers.md)