Verwenden Sie Benutzerdefiniert, URLs indem Sie alternative Domainnamen hinzufügen (CNAMEs) - Amazon CloudFront

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden Sie Benutzerdefiniert, URLs indem Sie alternative Domainnamen hinzufügen (CNAMEs)

Wenn Sie eine Distribution erstellen, CloudFront stellt sie einen Domainnamen bereit, z. B. d111111abcdef8.cloudfront.net. Anstatt diesen bereitgestellten Domainnamen zu verwenden, können Sie einen alternativen Domainnamen (auch als CNAME bezeichnet) verwenden.

In den folgenden Themen erfahren Sie, wie Sie Ihren eigenen Domainnamen verwenden können, z. B. www.example.com:

Voraussetzungen für die Verwendung von alternativen Domänennamen

Wenn Sie einer CloudFront Distribution einen alternativen Domainnamen wie www.example.com hinzufügen, gelten die folgenden Voraussetzungen:

Alternative Domänennamen müssen Kleinbuchstaben verwenden

Alle alternativen Domainnamen (CNAMEs) müssen in Kleinbuchstaben geschrieben werden.

Alternative Domänennamen müssen durch ein gültiges SSL/TLS-Zertifikat abgedeckt werden

Um einer Distribution einen alternativen Domainnamen (CNAME) hinzuzufügen, müssen Sie Ihrer CloudFront Distribution ein vertrauenswürdiges, gültiges SSL/TLS-Zertifikat beifügen, das den alternativen Domainnamen abdeckt. Dadurch wird sichergestellt, dass nur Personen, die Zugriff auf das Zertifikat Ihrer Domain haben, eine Verbindung zu CloudFront einem CNAME herstellen können, der sich auf Ihre Domain bezieht.

Ein vertrauenswürdiges Zertifikat ist ein Zertifikat, das von AWS Certificate Manager (ACM) oder einer anderen gültigen Zertifizierungsstelle (CA) ausgestellt wurde. Sie können ein selbstsigniertes Zertifikat verwenden, um einen vorhandenen CNAME zu validieren, aber nicht für einen neuen CNAME. CloudFront unterstützt dieselben Zertifizierungsstellen wie Mozilla. Die aktuelle Liste finden Sie unter Liste der CA-Zertifikate für Mozilla. Hinweise zu Zwischenzertifikaten bei der Verwendung einer Zertifizierungsstelle eines Drittanbieters finden Sie unterZwischenzertifikate.

Um einen alternativen Domainnamen mithilfe des von Ihnen angehängten Zertifikats zu verifizieren, einschließlich alternativer Domänennamen, die Platzhalter enthalten, wird der alternative Name (SAN) auf dem Zertifikat CloudFront überprüft. Der alternative Domänenname, den Sie hinzufügen, muss vom SAN abgedeckt werden.

Anmerkung

Einer CloudFront Distribution kann jeweils nur ein Zertifikat angehängt werden.

Sie weisen Ihre Berechtigung zum Hinzufügen eines spezifischen alternativen Domänennamens zu Ihrer Distribution nach, indem Sie eine der folgenden Aktionen ausführen:

  • Anfügen eines Zertifikats, das den alternativen Domänennamen enthält, z. B product-name.example.com.

  • Anfügen eines Zertifikats, das mit dem Platzhalterzeichen * am Anfang eines Domänennamens beginnt, um mehrere Unterdomänen durch ein einziges Zertifikat abzudecken. Wenn Sie ein Platzhalterzeichen verwenden, können Sie mehrere Unterdomänen als alternative Domänennamen in CloudFront hinzufügen.

Die folgenden Beispiele zeigen, wie die Verwendung von Platzhalterzeichen in Domänennamen in einem Zertifikat funktioniert und Sie dazu berechtigt, spezifische alternative Domänennamen in CloudFront hinzuzufügen.

  • Sie möchten marketing.example.com als einen alternativen Domänennamen hinzufügen. Sie listen in Ihrem Zertifikat den folgenden Domänennamen auf: *.example.com. Wenn Sie dieses Zertifikat anhängen CloudFront, können Sie einen beliebigen alternativen Domainnamen für Ihre Distribution hinzufügen, der den Platzhalter auf dieser Ebene ersetzt, einschließlich marketing.example.com. Sie können beispielsweise auch die folgenden alternativen Domänennamen hinzufügen:

    • product.example.com

    • api.example.com

    Sie können jedoch keine alternativen Domänennamen auf höheren oder niedrigeren Ebenen als der Platzhalterebene hinzufügen. Beispielsweise können Sie nicht die alternativen Domänennamen example.com oder marketing.product.example.com hinzufügen.

  • Sie möchten example.com als einen alternativen Domänennamen hinzufügen. Hierzu müssen Sie den Domänennamen example.com in dem Zertifikat auflisten, das Sie Ihrer Verteilung anfügen.

  • Sie möchten marketing.product.example.com als einen alternativen Domänennamen hinzufügen. Dazu können Sie *.product.example.com im Zertifikat auflisten oder marketing.product.example.com selbst im Zertifikat auflisten.

Berechtigung zum Ändern der DNS-Konfiguration

Wenn Sie alternative Domainnamen hinzufügen, müssen Sie CNAME-Einträge erstellen, um DNS-Abfragen für die alternativen Domainnamen an Ihre Distribution weiterzuleiten. CloudFront Hierzu müssen Sie beim DNS-Serviceanbieter für die von Ihnen verwendeten alternativen Domänennamen die Berechtigung zum Erstellen von CNAME-Datensätzen besitzen. Das bedeutet in der Regel, dass Sie der Besitzer der Domänen sind. Es kann aber auch bedeuten, dass Sie eine Anwendung für den Besitzer der Domäne entwickeln.

Alternative Domänennamen und HTTPS

Wenn Sie möchten, dass Viewer in Verbindung mit alternativen Domänennamen HTTPS verwenden, sind zusätzliche Konfigurationsschritte erforderlich. Weitere Informationen finden Sie unter Verwenden Sie alternative Domainnamen und HTTPS.

Einschränkungen bei der Verwendung alternativer Domänennamen

Beachten Sie die folgenden Einschränkungen bei der Verwendung alternativer Domänennamen:

Maximale Anzahl der alternativen Domänennamen

Informationen zur aktuell gültigen maximalen Anzahl von alternativen Domänennamen, die Sie einer Verteilung hinzufügen können, oder zum Anfordern eines höheren Kontingents (früher als Limit bezeichnet) finden Sie unter Allgemeine Kontingente für Verteilungen.

Doppelte und sich überschneidende alternative Domänennamen

Sie können einer CloudFront Distribution keinen alternativen Domainnamen hinzufügen, wenn derselbe alternative Domainname bereits in einer anderen CloudFront Distribution existiert, auch wenn Ihr AWS Konto die andere Distribution besitzt.

Sie können jedoch einen alternativen Domänennamen mit Platzhalterzeichen hinzufügen (z. B. *.example.com), der einen alternativen Domänennamen ohne Platzhalterzeichen enthält (d. h. sich mit diesem überschneidet), z. B. www.example.com. Wenn sich alternative Domainnamen in zwei Verteilungen überschneiden, CloudFront sendet die Anfrage an die Distribution mit der genaueren Namensübereinstimmung, unabhängig von der Verteilung, auf die der DNS-Eintrag verweist. Beispielsweise ist marketing.domain.com spezifischer als *.domain.com.

Wenn Sie bereits über einen DNS-Platzhaltereintrag verfügen, der auf eine CloudFront Verteilung verweist, und Sie beim Versuch, einen neuen CNAME mit einem genaueren Namen hinzuzufügen, einen falsch konfigurierten DNS-Fehler erhalten, finden Sie weitere Informationen unter. CloudFront gibt einen falsch konfigurierten DNS-Eintragsfehler zurück, wenn ich versuche, einen neuen CNAME hinzuzufügen

Domänen-Fronting

CloudFront umfasst Schutz vor Domain-Fronting, das zwischen verschiedenen Konten auftritt. AWS Domain-Fronting ist ein Szenario, in dem ein nicht standardmäßiger Client eine TLS/SSL-Verbindung zu einem Domainnamen in einem AWS Konto herstellt, dann aber eine HTTPS-Anfrage für einen nicht verwandten Namen in einem anderen Konto stellt. AWS Die TLS-Verbindung kann beispielsweise eine Verbindung zu www.example.com herstellen und anschließend eine HTTP-Anfrage für www.example.org ausgeben.

Um zu verhindern, dass das Domain-Fronting verschiedene AWS Konten überschneidet, CloudFront sollten Sie sicherstellen, dass das AWS Konto, dem das Zertifikat gehört, das es für eine bestimmte Verbindung verwendet, immer mit dem AWS Konto übereinstimmt, dem die Anfrage gehört, die es über dieselbe Verbindung bearbeitet.

Wenn die beiden AWS Kontonummern nicht übereinstimmen, CloudFront antwortet es mit einer fehlgeleiteten HTTP-421-Anfrage, um dem Client die Möglichkeit zu geben, über die richtige Domain eine Verbindung herzustellen.

Hinzufügen eines alternativen Domänennamens im obersten Knoten (Zone Apex) einer Domäne

Wenn Sie einer Distribution einen alternativen Domainnamen hinzufügen, erstellen Sie in der Regel einen CNAME-Eintrag in Ihrer DNS-Konfiguration, um DNS-Abfragen für den Domainnamen an Ihre CloudFront Distribution weiterzuleiten. Sie können jedoch keinen CNAME-Datensatz für den obersten Knoten eines DNS-Namespace (auch als Zone Apex bezeichnet) erstellen; das DNS-Protokoll lässt dies nicht zu. Wenn Sie beispielsweise den DNS-Namen example.com registriert haben, lautet der Zone Apex example.com. Sie können keinen CNAME-Datensatz für example.com erstellen, Sie können jedoch CNAME-Datensätze für www.example.com, newproduct.example.com und so weiter erstellen.

Wenn Sie Route 53 als DNS-Service verwenden, können Sie einen Alias-Ressourcendatensatz erstellen; dieser hat im Vergleich zu CNAME-Datensätzen zwei Vorteile. Sie können einen Alias-Ressourcendatensatz für einen Domänennamen im obersten Knoten (example.com) erstellen. Außerdem müssen Sie bei Verwendung eines Alias-Ressourcendatensatzes keine Gebühren für Route 53-Abfragen zahlen.

Anmerkung

Wenn Sie diese Option aktivieren IPv6, müssen Sie zwei Alias-Ressourcendatensätze erstellen: einen für die Weiterleitung des IPv4 Datenverkehrs (ein A-Eintrag) und einen für die Weiterleitung des IPv6 Datenverkehrs (ein AAAA-Eintrag). Weitere Informationen finden Sie unter Aktivieren IPv6 im Thema Referenz zu Verteilungseinstellungen.

Weitere Informationen finden Sie unter Weiterleiten von Datenverkehr an eine CloudFront Amazon-Webdistribution mithilfe Ihres Domainnamens im Amazon Route 53-Entwicklerhandbuch.

Wenn Sie Route 53 nicht für Ihr DNS verwenden, können Sie statische Anycast-IP-Adressen anfordern, an die Apex-Domains wie example.com weitergeleitet werden. CloudFront Weitere Informationen finden Sie unter Fordere Anycast static an, um es für die Zulassungsliste zu verwenden IPs .