# Definir configurações adicionais
<a name="configuring-additional-settings"></a>

Após a habilitação da autenticação TLS mútua básica, é possível definir configurações adicionais para personalizar o comportamento da autenticação para casos de uso e requisitos específicos.

## Modo opcional de validação de certificados de cliente
<a name="optional-mode"></a>

O CloudFront oferece um modo opcional de validação de certificados de cliente que valida os certificados de cliente que são apresentados, mas permite o acesso aos clientes que não apresentam certificados.

### Comportamento do modo opcional
<a name="optional-mode-behavior"></a>
+ Concede conexão a clientes com certificados válidos (certificados inválidos são negados).
+ Permite a conexão com clientes sem certificados.
+ Permite cenários variados de autenticação de clientes por meio de uma única distribuição.

O modo opcional é ideal em migrações graduais para a autenticação mTLS, pois permite clientes com certificados e clientes sem certificados ou mantém a compatibilidade com versões anteriores de clientes legados.

**nota**  
No modo opcional, as funções de conexão são invocadas mesmo quando os clientes não apresentam certificados. Isso permite que você implemente uma lógica personalizada, como registrar em log o endereço IP dos clientes ou aplicar políticas diferentes com base na apresentação ou não de certificados.

### Como configurar o modo opcional (console)
<a name="configure-optional-mode-console"></a>

1. Nas configurações de distribuição, acesse a guia **Geral** e escolha **Editar**.

1. Role até a seção **Autenticação mútua (mTLS) de visualizador** no contêiner **Conectividade**.

1. Em **Modo de validação de certificados de cliente**, selecione **Opcional**.

1. Salve as alterações.

### Como configurar o modo opcional (AWS CLI)
<a name="configure-optional-mode-cli"></a>

O seguinte exemplo mostra como configurar um o modo opcional:

```
"ViewerMtlsConfig": {
   "Mode": "optional",
   ...other settings
}
```

## Anúncio da autoridade de certificação
<a name="ca-advertisement"></a>

O campo AdvertiseTrustStoreCaNames controla se o CloudFront envia a lista de nomes de CA confiáveis aos clientes durante o handshake do TLS, ajudando os clientes a selecionar o certificado apropriado.

### Como configurar o anúncio da CA (console)
<a name="configure-ca-advertisement-console"></a>

1. Nas configurações de distribuição, acesse a guia **Geral** e escolha **Editar**.

1. Role até a seção **Autenticação mútua (mTLS) de visualizador** no contêiner **Conectividade**.

1. Marque ou desmarque a caixa de seleção **Anunciar nomes de CA do armazenamento confiável**.

1. Escolha **Salvar alterações**.

### Como configurar o anúncio da CA (AWS CLI)
<a name="configure-ca-advertisement-cli"></a>

O seguinte exemplo mostra como habilitar o anúncio da CA:

```
"ViewerMtlsConfig": {
   "Mode": "required", // or "optional"
   "TrustStoreConfig": {
      "AdvertiseTrustStoreCaNames": true,
      ...other settings
   } 
}
```

## Tratamento de expiração de certificados
<a name="certificate-expiration-handling"></a>

A propriedade IgnoreCertificateExpiry determina como o CloudFront responde a certificados de cliente expirados. Por padrão, o CloudFront rejeita certificados de clientes expirados, mas é possível configurá-lo para aceitá-los quando necessário. Normalmente, essa opção é habilitada para dispositivos com certificados expirados que não podem ser atualizados imediatamente.

### Como configurar o tratamento de expiração de certificados (console)
<a name="configure-expiration-console"></a>

1. Nas configurações de distribuição, acesse a guia **Geral** e escolha **Editar**.

1. Role até a seção **Autenticação mútua (mTLS) de visualizador** no contêiner **Conectividade**.

1. Marque ou desmarque a caixa de seleção **Ignorar a data de expiração do certificado**.

1. Escolha **Salvar alterações**.

### Como configurar o tratamento de expiração de certificados (AWS CLI)
<a name="configure-expiration-cli"></a>

O seguinte exemplo mostra como ignorar a expiração de certificados:

```
"ViewerMtlsConfig": {
  "Mode": "required", // or "optional"
  "TrustStoreConfig": {
     "IgnoreCertificateExpiry": false,
     ...other settings
  }
}
```

**nota**  
**IgnoreCertificateExpiry** aplica-se somente à data de validade dos certificados. Todas as outras verificações de validação de certificados ainda se aplicam (como cadeia de confiança e validação de assinatura).

## Próximas etapas
<a name="additional-settings-next-steps"></a>

Depois de definir as configurações adicionais, você pode configurar o encaminhamento de cabeçalhos transmitir as informações do certificado às suas origens, implementar a revogação do certificado usando as funções de conexão e o KeyValueStore e habilitar os logs de conexão para monitoramento. Para ver detalhes sobre como encaminhar as informações do certificado às origens, consulte [Encaminhar cabeçalhos às origens](viewer-mtls-headers.md).