추가 설정 구성
기본 상호 TLS 인증을 활성화한 후 특정 사용 사례 및 요구 사항에 맞게 인증 동작을 사용자 지정하도록 추가 설정을 구성할 수 있습니다.
인증 기관 광고
AdvertiseTrustStoreCaNames 필드는 TLS 핸드셰이크 중에 CloudFront가 신뢰할 수 있는 CA 이름 목록을 클라이언트에 전송할지 여부를 제어하여 클라이언트가 적절한 인증서를 선택할 수 있도록 지원합니다.
CA 광고를 구성하려면(콘솔)
-
배포 설정에서 일반 탭으로 이동하여 편집을 선택합니다.
-
연결성 컨테이너 내의 뷰어 상호 인증(mTLS) 섹션으로 스크롤합니다.
-
트러스트 스토어 CA 이름 광고 확인란을 선택하거나 선택 취소합니다.
-
변경 사항 저장을 선택합니다.
CA 광고를 구성하려면(AWS CLI)
다음 예제에서는 CA 광고를 활성화하는 방법을 보여줍니다.
"ViewerMtlsConfig": { "Mode": "required", // or "optional" "TrustStoreConfig": { "AdvertiseTrustStoreCaNames": true, ...other settings } }
인증서 만료 처리
IgnoreCertificateExpiry 속성은 CloudFront가 만료된 클라이언트 인증서에 응답하는 방법을 결정합니다. 기본적으로 CloudFront는 만료된 클라이언트 인증서를 거부하지만 필요할 때 수락하도록 구성할 수 있습니다. 이는 일반적으로 즉시 업데이트할 수 없는 인증서가 만료된 디바이스를 대상으로 활성화됩니다.
인증서 만료 처리를 구성하려면(콘솔)
-
배포 설정에서 일반 탭으로 이동하여 편집을 선택합니다.
-
연결성 컨테이너의 뷰어 상호 인증(mTLS) 섹션으로 스크롤합니다.
-
인증서 만료 날짜 무시 확인란을 선택하거나 선택 취소합니다.
-
변경 사항 저장을 선택합니다.
인증서 만료 처리를 구성하려면(AWS CLI)
다음 예제에서는 인증서 만료를 무시하는 방법을 보여줍니다.
"ViewerMtlsConfig": { "Mode": "required", // or "optional" "TrustStoreConfig": { "IgnoreCertificateExpiry": false, ...other settings } }
참고
IgnoreCertificateExpiry는 인증서 검증 날짜에만 적용됩니다. 다른 모든 인증서 검증 검사(신뢰 체인, 서명 검증)는 계속 적용됩니다.
다음 단계
추가 설정을 구성한 후 헤더 전달을 설정하여 인증서 정보를 오리진에 전달하고, 연결 함수 및 KeyValueStore를 사용하여 인증서 해지를 구현하고, 모니터링을 위해 연결 로그를 활성화할 수 있습니다. 오리진에 인증서 정보를 전달하는 방법에 대한 자세한 내용은 오리진에 헤더 전달을 참조하세요.