Anforderungen für die Verwendung von SSL/TLS-Zertifikaten mit CloudFront - Amazon CloudFront

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Anforderungen für die Verwendung von SSL/TLS-Zertifikaten mit CloudFront

In diesem Abschnitt werden die Anforderungen für SSL/TLS-Zertifikate beschrieben. Sie gelten, sofern nicht anders vermerkt, für die beiden folgenden Elemente:

  • Zertifikate für die Verwendung von HTTPS zwischen Zuschauern und CloudFront

  • Zertifikate für die Verwendung von HTTPS zwischen CloudFront und Ihrer Herkunft

Zertifikataussteller

Wir empfehlen Ihnen, ein öffentliches Zertifikat zu verwenden, das von AWS Certificate Manager (ACM) ausgestellt wurde. Weitere Informationen zu ACM finden Sie im AWS Certificate Manager -Benutzerhandbuch. Um ein ACM-Zertifikat zu verwenden CloudFront, stellen Sie sicher, dass Sie das Zertifikat in der Region USA Ost (Nord-Virginia) anfordern () (us-east-1).

CloudFront unterstützt dieselben Zertifizierungsstellen (CAs) wie Mozilla. Wenn Sie ACM also nicht verwenden, verwenden Sie ein Zertifikat, das von einer Zertifizierungsstelle ausgestellt wurde, die in der Mozilla Included CA Certificate List aufgeführt ist. Weitere Informationen zum Abrufen und Installieren eines Zertifikats finden Sie in der Dokumentation zu Ihrer HTTP-Server-Software und der Dokumentation, die von der Zertifizierungsstelle bereitgestellt wird.

AWS-Region für AWS Certificate Manager

Um ein Zertifikat in AWS Certificate Manager (ACM) zu verwenden, das HTTPS zwischen Zuschauern und erfordertCloudFront, stellen Sie sicher, dass Sie das Zertifikat in der Region USA Ost (Nord-Virginia) anfordern (us-east-1).

Wenn Sie HTTPS zwischen CloudFront und Ihrem Ursprung benötigen und einen Load Balancer in Elastic Load Balancing als Ursprung verwenden, können Sie das Zertifikat in einem beliebigen AWS-Region Format anfordern oder importieren.

Zertifikatformat

Das Zertifikat muss das Format X.509 PEM aufweisen. Dies ist das Standardformat bei der Verwendung von AWS Certificate Manager.

Zwischenzertifikate

Wenn Sie eine Drittanbieter-Zertifizierungsstelle (CA) verwenden, müssen alle Zwischenzertifikate in der Zertifikatkette aufgelistet sein, die sich in der Datei .pem befinden, beginnend mit einem Zwischenzertifikat für die Zertifizierungsstelle, die das Zertifikat für Ihre Domäne signiert hat. In der Regel finden Sie eine Datei auf der Website der Zertifizierungsstelle, in der die Zwischen- und Stammzertifikate in der richtigen Reihenfolge aufgelistet sind.

Wichtig

Fügen Sie Folgendes nicht hinzu: das Stammzertifikat, Zwischenzertifikate, die sich nicht im Vertrauenspfad befinden, und das Public-Key-Zertifikat Ihrer CA.

Ein Beispiel:

-----BEGIN CERTIFICATE----- Intermediate certificate 2 -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- Intermediate certificate 1 -----END CERTIFICATE-----

Schlüsseltyp

CloudFront unterstützt öffentlich-private RSA- und ECDSA-Schlüsselpaare.

CloudFront unterstützt mithilfe von RSA- und ECDSA-Zertifikaten HTTPS-Verbindungen sowohl zu Viewern als auch zu Ursprüngen. Mit AWS Certificate Manager (ACM) können Sie RSA- oder ECDSA-Zertifikate anfordern und importieren und sie dann Ihrer Distribution zuordnen. CloudFront

Eine Liste der RSA- und ECDSA-Chiffren, die Sie in HTTPS-Verbindungen aushandeln können CloudFront , finden Sie unter und. Unterstützte Protokolle und Chiffren zwischen Zuschauern und CloudFront Unterstützte Protokolle und Chiffren zwischen und dem Ursprung CloudFront

Privater Aktivierungsschlüssel

Bei Verwendung eines Zertifikats von einer Drittanbieter-Zertifizierungsstelle sind folgende Punkte zu beachten:

  • Der private Schlüssel muss dem öffentlichen Schlüssel des Zertifikats entsprechen.

  • Der private Schlüssel muss im PEM-Format vorliegen.

  • Der private Schlüssel kann nicht mit einem Passwort verschlüsselt werden.

Wenn AWS Certificate Manager (ACM) das Zertifikat bereitgestellt hat, gibt ACM den privaten Schlüssel nicht frei. Der private Schlüssel wird in ACM gespeichert und kann von AWS Diensten verwendet werden, die in ACM integriert sind.

Berechtigungen

Sie müssen über die Berechtigung zum Verwenden und Importieren des SSL/TLS-Zertifikats verfügen. Wenn Sie AWS Certificate Manager (ACM) verwenden, empfehlen wir, dass Sie AWS Identity and Access Management Berechtigungen verwenden, um den Zugriff auf die Zertifikate einzuschränken. Weitere Informationen finden Sie unter Identity and Access Management im AWS Certificate Manager -Benutzerhandbuch.

Länge des Zertifikatschlüssels

Die Größe des CloudFront unterstützten Zertifikatsschlüssels hängt von der Art des Schlüssels und des Zertifikats ab.

Für RSA-Zertifikate:

CloudFront unterstützt 1024-Bit-, 2048-Bit-, 3072-Bit- und 4096-Bit-RSA-Schlüssel. Die maximale Schlüssellänge für ein RSA-Zertifikat, das Sie mit verwenden, beträgt 4096 Bit. CloudFront

Beachten Sie, dass ACM RSA-Zertifikate mit bis zu 2048-Bit-Schlüsseln ausstellt. Um ein 3072-Bit- oder 4096-Bit-RSA-Zertifikat zu verwenden, müssen Sie das Zertifikat extern beziehen und in ACM importieren. Danach steht es Ihnen zur Verwendung zur Verfügung. CloudFront

Informationen zum Ermitteln der Länge des RSA-Schlüssels finden Sie unter Ermitteln Sie die Größe des öffentlichen Schlüssels in einem SSL/TLS-RSA-Zertifikat.

Für ECDSA-Zertifikate:

CloudFront unterstützt 256-Bit-Schlüssel. Um ein ECDSA-Zertifikat in ACM zu verwenden, das HTTPS zwischen Zuschauern und erfordert, verwenden Sie die elliptische CloudFront Prime256v1-Kurve.

Unterstützte Typen von Zertifikaten

CloudFront unterstützt alle Arten von Zertifikaten, die von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurden.

Ablaufdatum des Zertifikats und Zertifikaterneuerung

Wenn Sie Zertifikate verwenden, die Sie von einer Zertifizierungsstelle (CA) eines Drittanbieters erhalten, müssen Sie die Ablaufdaten der Zertifikate überwachen und die Zertifikate, die Sie in AWS Certificate Manager (ACM) importieren oder in den AWS Identity and Access Management Zertifikatsspeicher hochladen, erneuern, bevor sie ablaufen.

Wichtig

Um Probleme mit dem Ablauf von Zertifikaten zu vermeiden, verlängern oder importieren Sie Ihr Zertifikat mindestens 24 Stunden vor dem NotAfter Wert Ihres aktuellen Zertifikats erneut. Wenn Ihr Zertifikat innerhalb von 24 Stunden abläuft, fordern Sie ein neues Zertifikat von ACM an oder importieren Sie ein neues Zertifikat in ACM. Ordnen Sie als Nächstes das neue Zertifikat der CloudFront Distribution zu.

CloudFront verwendet möglicherweise weiterhin das vorherige Zertifikat, während Ihr Zertifikat erneuert oder erneut importiert wird. Dies ist ein asynchroner Vorgang, der bis zu 24 Stunden dauern kann, bis Ihre Änderungen CloudFront angezeigt werden.

Wenn Sie von ACM bereitgestellte Zertifikate verwenden, verwaltet ACM die Zertifikatserneuerungen für Sie. Weitere Informationen finden Sie unter Verwaltete Erneuerung im AWS Certificate Manager -Benutzerhandbuch.

Domainnamen in der CloudFront Distribution und im Zertifikat

Wenn Sie einen benutzerdefinierten Ursprung verwenden, enthält das SSL/TLS-Zertifikat für Ihren Ursprung einen Domainnamen im Feld Common Name und möglicherweise mehrere weitere im Feld Subject Alternative Names. (CloudFront unterstützt Platzhalterzeichen in Zertifikatsdomänennamen.)

Einer der Domänennamen im Zertifikat muss mit dem Domänennamen übereinstimmen, den Sie in „Origin Domain Name (Ursprungsdomänenname)“ angeben. Wenn kein Domainname übereinstimmt, wird der HTTP-Statuscode 502 (Bad Gateway) an den Betrachter CloudFront zurückgegeben.

Wichtig

Wenn Sie einer Distribution einen alternativen Domainnamen hinzufügen, wird CloudFront überprüft, ob der alternative Domainname durch das Zertifikat abgedeckt ist, das Sie angehängt haben. Das Zertifikat muss den alternativen Domänennamen im Feld „Subject Alternate Name (SAN)“ des Zertifikats abdecken. Dies bedeutet, dass das SAN-Feld eine exakte Übereinstimmung mit dem alternativen Domänennamen oder einen Platzhalter auf der gleichen Ebene des alternativen Domänennamens enthalten muss, den Sie hinzufügen.

Weitere Informationen finden Sie unter Voraussetzungen für die Verwendung von alternativen Domänennamen.

Mindestversion des SSL/TLS-Protokolls

Wenn Sie dedizierte IP-Adressen verwenden, legen Sie die Mindestversion des SSL/TLS-Protokolls für die Verbindung zwischen Zuschauern fest und CloudFront wählen Sie eine Sicherheitsrichtlinie aus.

Weitere Informationen finden Sie Sicherheitsrichtlinie (Mindestversion von SSL/TLS) im Thema Referenz zu Verteilungseinstellungen.

Unterstützte HTTP-Versionen

Wenn Sie ein Zertifikat mehreren CloudFront Distributionen zuordnen, müssen alle mit dem Zertifikat verknüpften Distributionen dieselbe Option für verwenden. Unterstützte HTTP-Versionen Sie geben diese Option an, wenn Sie eine CloudFront Verteilung erstellen oder aktualisieren.