View a markdown version of this page

設定其他設定 - Amazon CloudFront
憑證授權單位公告憑證過期處理後續步驟

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

設定其他設定

啟用基本交互 TLS 身分驗證之後,您可以設定其他設定,以針對特定使用案例和需求自訂身分驗證行為。

憑證授權單位公告

AdvertiseTrustStoreCaNames 欄位控制 CloudFront 在 TLS 交握期間是否將信任的 CA 名稱清單傳送給用戶端,協助用戶端選取適當的憑證。

設定 CA 公告 (主控台)

  1. 在您的分佈設定中,導覽至一般索引標籤,選擇編輯

  2. 捲動至連線容器中的檢視器交互身分驗證 (mTLS) 區段。

  3. 選取或取消選取公告信任存放區 CA 名稱核取方塊。

  4. 選擇儲存變更

設定 CA 公告 (AWS CLI)

下列範例示範如何啟用 CA 公告:

"ViewerMtlsConfig": {
   "Mode": "required", // or "optional"
   "TrustStoreConfig": {
      "AdvertiseTrustStoreCaNames": true,
      ...other settings
   } 
}

憑證過期處理

IgnoreCertificateExpiry 屬性會決定 CloudFront 如何回應過期的用戶端憑證。根據預設,CloudFront 會拒絕過期的用戶端憑證,但您可以視需要將其設定為接受憑證。對於憑證過期且無法立即更新的裝置,通常會啟用此功能。

設定憑證過期處理 (主控台)

  1. 在您的分佈設定中,導覽至一般索引標籤,選擇編輯

  2. 捲動至連線容器的檢視器交互身分驗證 (mTLS) 區段。

  3. 選取或取消選取忽略憑證過期日期核取方塊。

  4. 選擇儲存變更

設定憑證過期處理 (AWS CLI)

下列範例顯示如何忽略憑證過期:

"ViewerMtlsConfig": {
  "Mode": "required", // or "optional"
  "TrustStoreConfig": {
     "IgnoreCertificateExpiry": false,
     ...other settings
  }
}
注意

IgnoreCertificateExpiry 僅適用於憑證 有效期限。所有其他憑證驗證檢查仍然適用 (信任鏈、簽章驗證)。

後續步驟

設定其他設定後,您可以設定標頭轉送,將憑證資訊傳遞至原始伺服器、使用 Connection Functions 和 KeyValueStore 實作憑證撤銷,以及啟用連線日誌以進行監控。如需轉送憑證資訊至原始伺服器的詳細資訊,請參閱轉送標頭至原始伺服器