Help us improve the AWS re:Post Knowledge Center by sharing your feedback in a brief survey. Your input can influence how we create and update our content to better support your AWS journey.
為什麼我的 CloudFront 發佈項目和負載平衡器之間的 HTTPS 連線會失敗?
1 分的閱讀內容
0
我在 Classic Load Balancer 或 Application Load Balancer 上設定了 HTTPS 和 HTTP 接聽程式,做為 Amazon CloudFront 發佈項目的來源。但是,CloudFront 和負載平衡器之間的 HTTPS 通訊失敗。
解決方法
相關 SSL/TLS 憑證、安全群組或網路存取控制清單 (網路 ACL) 的問題導致 HTTPS 通訊失敗。請確定您的發佈項目和負載平衡器符合以下安全要求:
- 您必須在負載平衡器上安裝有效的 SSL/TLS 憑證。如果安裝 SSL/TLS 憑證後仍收到 HTTPS 錯誤,請檢查 CloudFront 與自訂原始伺服器之間的 SSL/TLS 連線問題。
- 若要將發佈項目連線到連接埠 443 上的負載平衡器,負載平衡器安全群組必須允許來自 CloudFront IP 位址的連接埠 443 流量。如需詳細資訊,請參閱為您的 Classic Load Balancer 設定安全群組或為您的 Application Load Balancer 設定安全群組。
- 若要只允許附加到您發佈項目安全群組中的 CloudFront IP 位址,請使用 AWS 受管首碼清單。此清單包含所有 CloudFront IP 位址,並會根據任何變更自動更新。如需詳細資訊,請參閱使用 Amazon CloudFront 的 AWS 受管首碼清單限制對原始伺服器的存取。
- 與負載平衡器的 Amazon Virtual Private Cloud (Amazon VPC) 相關聯的網路 ACL,必須允許來自 CloudFront 的 HTTPS 連接埠流量。這通常會是連接埠 443。
- 如果您已建立內部 Application Load Balancer,那麼 CloudFront 就無法將請求路由到該等化器,除非您將其新增為 VPC 原始伺服器。
**注意:**您可以使用伺服器名稱指示 (SNI),為 Application Load Balancer 新增多個 SSL/TLS 憑證,並進行智慧選擇。如果您的發佈項目是根據託管標頭快取,請在 Application Load Balancer 上設定相同名稱的 SSL/TLS 憑證。否則,Application Load Balancer 將使用預設憑證,該憑證可能與來自 CloudFront 的 ClientHello 訊息相關聯的 SNI 不符。
相關資訊
- 語言
- 中文 (繁體)
AWS 官方已更新 7 個月前
沒有評論
相關內容
- 已提問 1 年前
