View a markdown version of this page

추가 설정 구성 - Amazon CloudFront

추가 설정 구성

기본 상호 TLS 인증을 활성화한 후 특정 사용 사례 및 요구 사항에 맞게 인증 동작을 사용자 지정하도록 추가 설정을 구성할 수 있습니다.

인증 기관 광고

AdvertiseTrustStoreCaNames 필드는 TLS 핸드셰이크 중에 CloudFront가 신뢰할 수 있는 CA 이름 목록을 클라이언트에 전송할지 여부를 제어하여 클라이언트가 적절한 인증서를 선택할 수 있도록 지원합니다.

CA 광고를 구성하려면(콘솔)

  1. 배포 설정에서 일반 탭으로 이동하여 편집을 선택합니다.

  2. 연결성 컨테이너 내의 뷰어 상호 인증(mTLS) 섹션으로 스크롤합니다.

  3. 트러스트 스토어 CA 이름 광고 확인란을 선택하거나 선택 취소합니다.

  4. 변경 사항 저장을 선택합니다.

CA 광고를 구성하려면(AWS CLI)

다음 예제에서는 CA 광고를 활성화하는 방법을 보여줍니다.

"ViewerMtlsConfig": { "Mode": "required", // or "optional" "TrustStoreConfig": { "AdvertiseTrustStoreCaNames": true, ...other settings } }

인증서 만료 처리

IgnoreCertificateExpiry 속성은 CloudFront가 만료된 클라이언트 인증서에 응답하는 방법을 결정합니다. 기본적으로 CloudFront는 만료된 클라이언트 인증서를 거부하지만 필요할 때 수락하도록 구성할 수 있습니다. 이는 일반적으로 즉시 업데이트할 수 없는 인증서가 만료된 디바이스를 대상으로 활성화됩니다.

인증서 만료 처리를 구성하려면(콘솔)

  1. 배포 설정에서 일반 탭으로 이동하여 편집을 선택합니다.

  2. 연결성 컨테이너의 뷰어 상호 인증(mTLS) 섹션으로 스크롤합니다.

  3. 인증서 만료 날짜 무시 확인란을 선택하거나 선택 취소합니다.

  4. 변경 사항 저장을 선택합니다.

인증서 만료 처리를 구성하려면(AWS CLI)

다음 예제에서는 인증서 만료를 무시하는 방법을 보여줍니다.

"ViewerMtlsConfig": { "Mode": "required", // or "optional" "TrustStoreConfig": { "IgnoreCertificateExpiry": false, ...other settings } }
참고

IgnoreCertificateExpiry는 인증서 검증 날짜에만 적용됩니다. 다른 모든 인증서 검증 검사(신뢰 체인, 서명 검증)는 계속 적용됩니다.

다음 단계

추가 설정을 구성한 후 헤더 전달을 설정하여 인증서 정보를 오리진에 전달하고, 연결 함수 및 KeyValueStore를 사용하여 인증서 해지를 구현하고, 모니터링을 위해 연결 로그를 활성화할 수 있습니다. 오리진에 인증서 정보를 전달하는 방법에 대한 자세한 내용은 오리진에 헤더 전달을 참조하세요.