その他の設定
基本的な相互 TLS 認証を有効にした後、追加の設定を構成して、特定のユースケースと要件の認証動作をカスタマイズできます。
認証局のアドバタイズ
AdvertiseTrustStoreCaNames フィールドは、TLS ハンドシェイク中に CloudFront が信頼される CA 名のリストをクライアントに送信するかどうかを制御し、クライアントが該当する証明書を選択するのに役立ちます。
CA のアドバタイズを設定するには (コンソール)
-
ディストリビューション設定で、[全般] タブに移動し、[編集] を選択します。
-
[接続] コンテナ内の [ビューワー相互認証 (mTLS)] セクションまでスクロールします。
-
[トラストストアの CA 名のアドバタイズ] チェックボックスをオンまたはオフにします。
-
[Save changes] (変更の保存) をクリックします。
CA アドバタイズを設定するには (AWS CLI)
次の例は、CA アドバタイズを有効にする方法を示しています。
"ViewerMtlsConfig": { "Mode": "required", // or "optional" "TrustStoreConfig": { "AdvertiseTrustStoreCaNames": true, ...other settings } }
証明書の有効期限の処理
IgnoreCertificateExpiry プロパティは、CloudFront が期限切れのクライアント証明書に応答する方法を決定します。デフォルトでは、CloudFront は期限切れのクライアント証明書を拒否しますが、必要に応じて受け入れるように設定できます。これは通常、すぐに更新できない期限切れの証明書を持つデバイスに対して有効です。
証明書の有効期限の処理を設定するには (コンソール)
-
ディストリビューション設定で、[全般] タブに移動し、[編集] を選択します。
-
[接続] コンテナの [ビューワー相互認証 (mTLS)] セクションまでスクロールします。
-
[証明書の有効期限を無視] チェックボックスを選択または選択解除します。
-
[Save changes] (変更の保存) をクリックします。
証明書の有効期限の処理を設定するには (AWS CLI)
次の例は、証明書の有効期限を無視する方法を示します。
"ViewerMtlsConfig": { "Mode": "required", // or "optional" "TrustStoreConfig": { "IgnoreCertificateExpiry": false, ...other settings } }
注記
IgnoreCertificateExpiry は証明書の有効期限にのみ適用されます。他のすべての証明書検証チェックは引き続き適用されます (信頼チェーン、署名の検証)。
次のステップ
追加の設定を行った後、オリジンに証明書情報を渡すようにヘッダー転送を設定して Connection Functions と KeyValueStore を使用して証明書失効を実装し、モニタリング用の接続ログを有効にすることができます。証明書情報をオリジンに転送する方法の詳細については、「オリジンへヘッダーを転送する」を参照してください。