Warum schlägt die HTTPS-Verbindung zwischen meiner CloudFront-Distribution und dem Load Balancer fehl?

Lesedauer: 2 Minute

Ich konfiguriere HTTPS- und HTTP-Listener auf meinem Classic Load Balancer oder Application Load Balancer als Ursprung für meine Amazon CloudFront-Distribution. Die HTTPS-Kommunikation zwischen CloudFront und meinem Load Balancer schlägt jedoch fehl.

Lösung

Probleme mit dem zugehörigen SSL/TLS-Zertifikat, den Sicherheitsgruppen oder der Netzwerk-Zugriffssteuerungsliste (Netzwerk-ACL) führen zu HTTPS-Kommunikationsfehlern. Stelle sicher, dass die Distribution und der Load Balancer die folgenden Sicherheitsanforderungen erfüllen:

Du musst ein gültiges SSL/TLS-Zertifikat auf dem Load Balancer installiert haben. Wenn du nach der Installation des SSL/TLS-Zertifikats immer noch HTTPS-Fehler erhältst, dann behebe die SSL/TLS-Verbindung zwischen CloudFront und dem benutzerdefinierten Ursprungsserver.
Um die Distribution mit dem Load Balancer auf Port 443 zu verbinden, müssen die Load Balancer-Sicherheitsgruppen Port 443-Datenverkehr von CloudFront-IP-Adressen zulassen. Weitere Informationen findest du unter Konfigurieren von Sicherheitsgruppen für den Classic Load Balancer oder Sicherheitsgruppen für den Application Load Balancer.
Verwende die von AWS verwaltete Präfixliste, um nur CloudFront-IP-Adressen in der Sicherheitsgruppe zuzulassen, die an die Distribution angehängt ist. Diese Liste enthält alle CloudFront-IP-Adressen und wird bei Änderungen automatisch aktualisiert. Weitere Informationen findest du unter Beschränken des Zugriffs auf die Ursprünge mithilfe der von AWS verwalteten Präfixliste für Amazon CloudFront.
Die Netzwerk-ACLs, die mit der Amazon Virtual Private Cloud (Amazon VPC) des Load Balancers verknüpft sind, müssen den Datenverkehr von CloudFront über HTTPS-Ports zulassen. In der Regel ist dies Port 443.
Wenn du einen internen Application Load Balancer erstellt hast, kann CloudFront keine Anfragen an ihn weiterleiten, es sei denn, du fügst ihn als VPC-Ursprung hinzu.

Hinweis: Du kannst Server Name Indication (SNI) verwenden, um dem Application Load Balancer mehrere SSL/TLS-Zertifikate mit intelligenter Auswahl hinzuzufügen. Wenn die Distribution auf der Grundlage des Host-Headers zwischenspeichert, konfiguriere ein SSL/TLS-Zertifikat mit demselben Namen auf dem Application Load Balancer. Andernfalls verwendet der Application Load Balancer das Standardzertifikat, das möglicherweise nicht mit der SNI übereinstimmt, die der ClientHello-Nachricht von CloudFront zugeordnet ist.

Relevanter Inhalt

Warum leitet Elastic Load Balancing meinen Load Balancer-Verkehr ungleichmäßig weiter?
AWS OFFICIALAktualisiert vor 4 Jahren
Warum kann ein Ziel hinter meinem Network Load Balancer keine Verbindung zu seinem eigenen Network Load Balancer herstellen?
AWS OFFICIALAktualisiert vor 2 Jahren
Wie kann ich fehlgeschlagene Zustandsprüfungen für Classic Load Balancer beheben und korrigieren?
AWS OFFICIALAktualisiert vor 4 Monaten
Wie behebe ich die Fehler „Connection timed out“ bei Elastic Load Balancing?
AWS OFFICIALAktualisiert vor 4 Jahren

Warum schlägt die HTTPS-Verbindung zwischen meiner CloudFront-Distribution und dem Load Balancer fehl?

Lösung

Ähnliche Informationen

Relevanter Inhalt