如何将我的 CloudFront 分配配置为使用 SSL/TLS 证书?

1 分钟阅读
0

我想将我的 Amazon CloudFront 分配配置为使用 SSL/TLS 证书。

解决方案

CloudFront 会为您的分配设定一个默认域名。这个域名看起来类似:d111111abcdef8.cloudfront.net。如果您使用默认域名,还可以使用 CloudFront 为您的分配选择的默认 SSL/TLS 证书。如果您使用不同的域名,则最佳实践是完成以下一个步骤:

这可以帮助您避免收到有关域名的证书警告。

如果您使用 Amazon 颁发的证书,请注意以下先决条件:

  • 您必须在美国东部(弗吉尼亚州北部)AWS 区域申请证书。
  • 您必须拥有使用和申请 ACM 证书的权限。

如果您在 CloudFront 中使用导入的证书,请注意以下先决条件:

  • 您的密钥长度必须为 1024 位、2048 位或 3072 位,并且不能超过 3072 位
    **注意:**ACM 会颁发包含最长 2048 位密钥的 RSA 证书。要使用 3072 位 RSA 证书,必须从外部获取该证书,然后将其导入 ACM。完成此操作后,即可在 CloudFront 中使用该证书。
  • 您必须在美国东部(弗吉尼亚州北部)区域导入证书。
  • 您必须拥有使用和导入 SSL/TLS 证书的权限。

注意:如果您缺少权限,则 CloudFront 控制台会在自定义 SSL 证书设置中显示缺少权限 acm:ListCertificates。如果您没有美国东部(弗吉尼亚州北部)的证书或密钥长度超过 3072 位,则自定义 SSL 证书将显示为灰色。
有关详细信息,请参阅将 SSL/TLS 证书与 CloudFront 配合使用的要求

然后,将您的 CloudFront 分配配置为使用新证书,并要求查看者和 CloudFront 之间的通信要使用 HTTPS。有关更多信息,请参阅更新分配

保存对 CloudFront 分配配置的更改后,CloudFront 会将更改传播到所有边缘站点。传播完成后,CloudFront 控制台中的 CloudFront 分配状态将从进行中更改为已部署

如果您需要对 CloudFront 与您的自定义源之间的通信使用 HTTPS,那么您也可以在自定义源上使用 SSL/TLS 证书。

要更新您的 CloudFront 分配的设置,请参阅更新您的 CloudFront 分配

相关信息

颁发和管理证书

如何解决在我的 CloudFront 分配中使用自定义 SSL 证书时遇到的问题?

如何解决我的客户在尝试使用HTTPS访问我的网站时收到的错误?

AWS 官方
AWS 官方已更新 1 年前