

# 추가 설정 구성
<a name="configuring-additional-settings"></a>

기본 상호 TLS 인증을 활성화한 후 특정 사용 사례 및 요구 사항에 맞게 인증 동작을 사용자 지정하도록 추가 설정을 구성할 수 있습니다.

## 클라이언트 인증서 검증 선택적 모드
<a name="optional-mode"></a>

CloudFront는 제공된 클라이언트 인증서를 검증하지만 인증서를 제시하지 않는 클라이언트에 대한 액세스를 허용하는 선택적 클라이언트 인증서 검증 모드를 제공합니다.

### 선택적 모드 동작
<a name="optional-mode-behavior"></a>
+ 유효한 인증서가 있는 클라이언트에 대한 연결을 부여합니다(잘못된 인증서는 거부됨).
+ 인증서 없이 클라이언트에 연결 허용
+ 단일 배포를 통해 혼합 클라이언트 인증 시나리오를 허용합니다.

선택적 모드는 mTLS 인증으로 점진적으로 마이그레이션하거나, 인증서가 있는 클라이언트 및 인증서가 없는 클라이언트를 지원하거나, 레거시 클라이언트와의 이전 버전 호환성을 유지하는 데 적합합니다.

**참고**  
선택적 모드에서는 클라이언트가 인증서를 제시하지 않더라도 연결 함수가 계속 간접 호출됩니다. 이를 통해 클라이언트 IP 주소 로깅 또는 인증서 제시 여부에 따라 다른 정책 적용과 같은 사용자 지정 로직을 구현할 수 있습니다.

### 선택적 모드를 구성하려면(콘솔)
<a name="configure-optional-mode-console"></a>

1. 배포 설정에서 **일반** 탭으로 이동하여 **편집**을 선택합니다.

1. **연결성** 컨테이너 내의 **뷰어 상호 인증(mTLS)** 섹션으로 스크롤합니다.

1. **클라이언트 인증서 검증 모드**에서 **선택 사항**을 선택합니다.

1. 변경 내용을 저장합니다.

### 선택적 모드를 구성하려면(AWS CLI)
<a name="configure-optional-mode-cli"></a>

다음 예제에서는 선택적 모드를 구성하는 방법을 보여줍니다.

```
"ViewerMtlsConfig": {
   "Mode": "optional",
   ...other settings
}
```

## 인증 기관 광고
<a name="ca-advertisement"></a>

AdvertiseTrustStoreCaNames 필드는 TLS 핸드셰이크 중에 CloudFront가 신뢰할 수 있는 CA 이름 목록을 클라이언트에 전송할지 여부를 제어하여 클라이언트가 적절한 인증서를 선택할 수 있도록 지원합니다.

### CA 광고를 구성하려면(콘솔)
<a name="configure-ca-advertisement-console"></a>

1. 배포 설정에서 **일반** 탭으로 이동하여 **편집**을 선택합니다.

1. **연결성** 컨테이너 내의 **뷰어 상호 인증(mTLS)** 섹션으로 스크롤합니다.

1. **트러스트 스토어 CA 이름 광고** 확인란을 선택하거나 선택 취소합니다.

1. **변경 사항 저장**을 선택합니다.

### CA 광고를 구성하려면(AWS CLI)
<a name="configure-ca-advertisement-cli"></a>

다음 예제에서는 CA 광고를 활성화하는 방법을 보여줍니다.

```
"ViewerMtlsConfig": {
   "Mode": "required", // or "optional"
   "TrustStoreConfig": {
      "AdvertiseTrustStoreCaNames": true,
      ...other settings
   } 
}
```

## 인증서 만료 처리
<a name="certificate-expiration-handling"></a>

IgnoreCertificateExpiry 속성은 CloudFront가 만료된 클라이언트 인증서에 응답하는 방법을 결정합니다. 기본적으로 CloudFront는 만료된 클라이언트 인증서를 거부하지만 필요할 때 수락하도록 구성할 수 있습니다. 이는 일반적으로 즉시 업데이트할 수 없는 인증서가 만료된 디바이스를 대상으로 활성화됩니다.

### 인증서 만료 처리를 구성하려면(콘솔)
<a name="configure-expiration-console"></a>

1. 배포 설정에서 **일반** 탭으로 이동하여 **편집**을 선택합니다.

1. **연결성** 컨테이너의 **뷰어 상호 인증(mTLS)** 섹션으로 스크롤합니다.

1. **인증서 만료 날짜 무시** 확인란을 선택하거나 선택 취소합니다.

1. **변경 사항 저장**을 선택합니다.

### 인증서 만료 처리를 구성하려면(AWS CLI)
<a name="configure-expiration-cli"></a>

다음 예제에서는 인증서 만료를 무시하는 방법을 보여줍니다.

```
"ViewerMtlsConfig": {
  "Mode": "required", // or "optional"
  "TrustStoreConfig": {
     "IgnoreCertificateExpiry": false,
     ...other settings
  }
}
```

**참고**  
**IgnoreCertificateExpiry**는 인증서 검증 날짜에만 적용됩니다. 다른 모든 인증서 검증 검사(신뢰 체인, 서명 검증)는 계속 적용됩니다.

## 다음 단계
<a name="additional-settings-next-steps"></a>

추가 설정을 구성한 후 헤더 전달을 설정하여 인증서 정보를 오리진에 전달하고, 연결 함수 및 KeyValueStore를 사용하여 인증서 해지를 구현하고, 모니터링을 위해 연결 로그를 활성화할 수 있습니다. 오리진에 인증서 정보를 전달하는 방법에 대한 자세한 내용은 [오리진에 헤더 전달](viewer-mtls-headers.md)을 참조하세요.