Help us improve the AWS re:Post Knowledge Center by sharing your feedback in a brief survey. Your input can influence how we create and update our content to better support your AWS journey.
为什么我的 CloudFront 分配与负载均衡器之间的 HTTPS 连接会失败?
1 分钟阅读
0
我在我的经典负载均衡器或应用程序负载均衡器上配置了 HTTPS 和 HTTP 侦听器,作为我的 Amazon CloudFront 分配的源。但是,CloudFront 与我的负载均衡器之间的 HTTPS 通信失败了。
解决方法
关联的 SSL/TLS 证书、安全组或网络访问控制列表(网络 ACL)的问题会导致 HTTPS 通信失败。确保您的分配和负载均衡器满足以下安全要求:
- 您必须在负载均衡器上安装有效的 SSL/TLS 证书。如果您在安装 SSL/TLS 证书后仍收到 HTTPS 错误,请对 CloudFront 与自定义原始服务器之间的 SSL/TLS 连接进行故障排除。
- 要通过端口 443 将分配连接到您的负载均衡器,负载均衡器安全组必须允许来自 CloudFront IP 地址的端口 443 流量。有关详细信息,请参阅为经典负载均衡器配置安全组或为应用程序负载均衡器配置安全组。
- 要仅允许附加到分配的安全组中的 CloudFront IP 地址,请使用 AWS 托管前缀列表。此列表包含所有 CloudFront IP 地址,并会根据任何更改自动更新。有关详细信息,请参阅 Limit access to your origins using the AWS managed prefix list for Amazon CloudFront(使用 Amazon CloudFront 的 AWS 托管前缀列表限制对源的访问)。
- 与您的负载均衡器的 Amazon Virtual Private Cloud (Amazon VPC) 关联的网络 ACL 必须允许来自 CloudFront 的流量通过 HTTPS 端口。通常,此端口为 443。
- 如果您创建了内部应用程序负载均衡器,则 CloudFront 无法将请求路由到该负载均衡器,除非您将其添加为 VPC 源。
**注意:**您可以使用服务器名称指示 (SNI) 通过智能选择向应用程序负载均衡器添加多个 SSL/TLS 证书。如果您的分配基于主机标头进行缓存,请在应用程序负载均衡器上配置一个同名的 SSL/TLS 证书。否则,应用程序负载均衡器将使用默认证书,该证书可能与来自 CloudFront 的 ClientHello 消息关联的 SNI 不匹配。
相关信息
- 语言
- 中文 (简体)
AWS 官方已更新 8 个月前
没有评论
相关内容
- AWS 官方已更新 3 年前
