本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 設定其他設定
啟用基本交互 TLS 身分驗證之後,您可以設定其他設定,以針對特定使用案例和需求自訂身分驗證行為。
## 用戶端憑證驗證選用模式
CloudFront 提供替代的選用用戶端憑證驗證模式,可驗證呈現的用戶端憑證,但允許存取不存在憑證的用戶端。
### 選用模式行為
+ 授予具有有效憑證的用戶端連線 (拒絕無效的憑證)。
+ 允許在沒有憑證的情況下連線至用戶端
+ 允許透過單一分佈的混合用戶端身分驗證案例。
選用模式非常適合逐步遷移至 mTLS 身分驗證、支援具有憑證的用戶端和沒有憑證的用戶端,或與舊版用戶端保持回溯相容性。
**注意**
在選用模式中,即使用戶端不存在憑證,連線函數仍會被叫用。這可讓您實作自訂邏輯,例如記錄用戶端 IP 地址,或根據是否顯示憑證套用不同的政策。
### 設定選用模式 (主控台)
1. 在您的分佈設定中,導覽至**一般**索引標籤,選擇**編輯**。
1. 捲動至**連線**容器中的**檢視器交互身分驗證 (mTLS)** 區段。
1. 針對**用戶端憑證驗證模式**,選取**選用**。
1. 儲存變更。
### 設定選用模式 (AWS CLI)
下列範例示範如何設定選用模式:
```
"ViewerMtlsConfig": {
"Mode": "optional",
...other settings
}
```
## 憑證授權單位公告
AdvertiseTrustStoreCaNames 欄位控制 CloudFront 在 TLS 交握期間是否將信任的 CA 名稱清單傳送給用戶端,協助用戶端選取適當的憑證。
### 設定 CA 公告 (主控台)
1. 在您的分佈設定中,導覽至**一般**索引標籤,選擇**編輯**。
1. 捲動至**連線**容器中的**檢視器交互身分驗證 (mTLS)** 區段。
1. 選取或取消選取**公告信任存放區 CA 名稱**核取方塊。
1. 選擇**儲存變更**。
### 設定 CA 公告 (AWS CLI)
下列範例示範如何啟用 CA 公告:
```
"ViewerMtlsConfig": {
"Mode": "required", // or "optional"
"TrustStoreConfig": {
"AdvertiseTrustStoreCaNames": true,
...other settings
}
}
```
## 憑證過期處理
IgnoreCertificateExpiry 屬性會決定 CloudFront 如何回應過期的用戶端憑證。根據預設,CloudFront 會拒絕過期的用戶端憑證,但您可以視需要將其設定為接受憑證。對於憑證過期且無法立即更新的裝置,通常會啟用此功能。
### 設定憑證過期處理 (主控台)
1. 在您的分佈設定中,導覽至**一般**索引標籤,選擇**編輯**。
1. 捲動至**連線**容器的**檢視器交互身分驗證 (mTLS)** 區段。
1. 選取或取消選取**忽略憑證過期日期**核取方塊。
1. 選擇**儲存變更**。
### 設定憑證過期處理 (AWS CLI)
下列範例示範如何忽略憑證過期:
```
"ViewerMtlsConfig": {
"Mode": "required", // or "optional"
"TrustStoreConfig": {
"IgnoreCertificateExpiry": false,
...other settings
}
}
```
**注意**
**IgnoreCertificateExpiry** 僅適用於憑證有效期限。所有其他憑證驗證檢查仍然適用 (信任鏈、簽章驗證)。
## 後續步驟
設定其他設定後,您可以設定標頭轉送,將憑證資訊傳遞至原始伺服器、使用 Connection Functions 和 KeyValueStore 實作憑證撤銷,以及啟用連線日誌以進行監控。如需轉送憑證資訊至原始伺服器的詳細資訊,請參閱[轉送標頭至原始伺服器](viewer-mtls-headers.md)。