Help us improve the AWS re:Post Knowledge Center by sharing your feedback in a brief survey. Your input can influence how we create and update our content to better support your AWS journey.
Por que há falha na conexão HTTPS entre minha distribuição do CloudFront e o balanceador de carga?
Eu configurei receptores HTTPS e HTTP no meu Classic Load Balancer ou Application Load Balancer como a origem da minha distribuição do Amazon CloudFront. No entanto, a comunicação HTTPS entre o CloudFront e meu balanceador de carga falha.
Resolução
A falha na comunicação HTTPS pode ser causada por problemas com o certificado SSL/TLS associado, com os grupos de segurança ou com a lista de controle de acesso à rede (ACL da rede). Certifique-se de que a sua distribuição e o balanceador de carga atendem a estes requisitos de segurança:
- É necessário ter um certificado SSL/TLS válido instalado no balanceador de carga. Se você ainda receber erros de HTTPS depois de instalar o certificado SSL/TLS, solucione o problema da conexão SSL/TLS entre o CloudFront e o servidor de origem personalizado.
- Para conectar a distribuição ao seu balanceador de carga na porta 443, os grupos de segurança do balanceador de carga devem permitir o tráfego da porta 443 a partir dos endereços IP do CloudFront. Para saber mais, consulte Configurar grupos de segurança para seu Classic Load Balancer ou Grupos de segurança para seu Application Load Balancer.
- Para permitir somente endereços CloudFront IP no grupo de segurança anexado à sua distribuição, use a lista de prefixos gerenciados pela AWS. Essa lista contém todos os endereços IP do CloudFront e é atualizada automaticamente com qualquer alteração. Obtenha mais informações consultando Limit access to your origins using the AWS-managed prefix list for Amazon CloudFront [Limitar acesso às suas origens usando a lista de prefixos gerenciados pela AWS para Amazon CloudFront].
- As ACL de rede associadas à Amazon Virtual Private Cloud (Amazon VPC) do seu balanceador de carga devem permitir tráfego do CloudFront em portas HTTPS. Normalmente, essa é a porta 443.
- Se você criou um Application Load Balancer interno, o CloudFront não poderá encaminhar solicitações para ele, a menos que você o adicione como uma origem de VPC.
Observação: É possível usar a Indicação de nome de servidor (Server Name Indication, SNI) para adicionar vários certificados SSL/TLS com seleção inteligente ao seu Application Load Balancer. Se sua distribuição armazena em cache com base no cabeçalho do host, configure um certificado SSL/TLS com o mesmo nome no Application Load Balancer. Caso contrário, o Application Load Balancer usa o certificado padrão, que pode não corresponder ao SNI associado à mensagem ClientHello do CloudFront.
Informações relacionadas
Exigir HTTPS para comunicação entre o CloudFront e sua origem personalizada
- Idioma
- Português
Conteúdo relevante
- feita há 10 meses
