Anforderungen für die Verwendung von SSL-/TLS-Zertifikaten in Verbindung mit CloudFront
In diesem Abschnitt werden die Anforderungen für SSL/TLS-Zertifikate beschrieben. Sie gelten, sofern nicht anders vermerkt, für die beiden folgenden Elemente:
-
Zertifikate für die Verwendung von HTTPS zwischen Viewern und CloudFront
-
Zertifikate für die Verwendung von HTTPS zwischen CloudFront und Ihrem Ursprung
Themen
- Zertifikataussteller
- AWS-Region für AWS Certificate Manager
- Zertifikatformat
- Zwischenzertifikate
- Schlüsseltyp
- Privater Aktivierungsschlüssel
- Berechtigungen
- Länge des Zertifikatschlüssels
- Unterstützte Typen von Zertifikaten
- Ablaufdatum des Zertifikats und Zertifikaterneuerung
- Domänennamen in der CloudFront-Verteilung und im Zertifikat
- Mindestversion des SSL/TLS-Protokolls
- Unterstützte HTTP-Versionen
Zertifikataussteller
Wir empfehlen, ein Zertifikat zu verwenden, das von AWS Certificate Manager (ACM)us-east-1
) anzufordern (oder zu importieren).
CloudFront unterstützt dieselben Zertifizierungsstellen (Certificate Authorities, CAs) wie Mozilla. Wenn Sie also nicht ACM verwenden, verwenden Sie ein Zertifikat, das von einer Zertifizierungsstelle auf der Liste der in Mozilla enthaltenen CA-Zertifikate
AWS-Region für AWS Certificate Manager
Um ein Zertifikat in AWS Certificate Manager (ACM) zu verwenden, um HTTPS zwischen Viewern und CloudFront zu erfordern, stellen Sie sicher, dass Sie das Zertifikat in der Region USA Ost (Nord-Virginia) (us-east-1
) anfordern (oder importieren).
Wenn Sie die Verwendung von HTTPS zwischen CloudFront und Ihrem Ursprung erzwingen möchten und als Ursprung eine Lastenverteilung in Elastic Load Balancing verwenden, können Sie ein Zertifikat in einer beliebigen AWS-Region anfordern oder in diese importieren.
Zertifikatformat
Das Zertifikat muss das Format X.509 PEM aufweisen. Dies ist das Standardformat bei der Verwendung von AWS Certificate Manager.
Zwischenzertifikate
Wenn Sie eine Drittanbieter-Zertifizierungsstelle (CA) verwenden, müssen alle Zwischenzertifikate in der Zertifikatkette aufgelistet sein, die sich in der Datei .pem
befinden, beginnend mit einem Zwischenzertifikat für die Zertifizierungsstelle, die das Zertifikat für Ihre Domäne signiert hat. In der Regel finden Sie eine Datei auf der Website der Zertifizierungsstelle, in der die Zwischen- und Stammzertifikate in der richtigen Reihenfolge aufgelistet sind.
Fügen Sie Folgendes nicht hinzu: das Stammzertifikat, Zwischenzertifikate, die sich nicht im Vertrauenspfad befinden, und das Public-Key-Zertifikat Ihrer CA.
Ein Beispiel:
-----BEGIN CERTIFICATE-----
Intermediate certificate 2
-----END CERTIFICATE----- -----BEGIN CERTIFICATE-----Intermediate certificate 1
-----END CERTIFICATE-----
Schlüsseltyp
CloudFront unterstützt RSA- und ECDSA-Paare aus öffentlichem und privatem Schlüssel.
CloudFront unterstützt HTTPS-Verbindungen zu Viewern und Ursprüngen mithilfe von RSA- und ECDSA-Zertifikaten. Mit AWS Certificate Manager (ACM)
Listen der RSA- und ECDSA-Verschlüsselungen, die von CloudFront unterstützt werden und die Sie in HTTPS-Verbindungen aushandeln können, finden Sie unter Unterstützte Protokolle und Verschlüsselungen zwischen Betrachtern und CloudFront und Unterstützte Protokolle und Verschlüsselungen zwischen CloudFront und dem Ursprung.
Privater Aktivierungsschlüssel
Bei Verwendung eines Zertifikats von einer Drittanbieter-Zertifizierungsstelle sind folgende Punkte zu beachten:
-
Der private Schlüssel muss dem öffentlichen Schlüssel des Zertifikats entsprechen.
-
Der private Schlüssel muss im PEM-Format vorliegen.
-
Der private Schlüssel kann nicht mit einem Passwort verschlüsselt werden.
Wenn das Zeritifkat von AWS Certificate Manager (ACM) bereitgestellt wird, sollten Sie den privaten Schlüssel nicht freigeben. Der private Schlüssel ist in ACM zur Verwendung durch AWS-Services, die in ACM integriert sind, gespeichert.
Berechtigungen
Sie müssen über die Berechtigung zum Verwenden und Importieren des SSL/TLS-Zertifikats verfügen. Für den Fall, dass Sie AWS Certificate Manager (ACM) verwenden, wird empfohlen, dass Sie den Zugriff auf die Zertifikate durch AWS Identity and Access Management-Berechtigungen beschränken. Weitere Informationen finden Sie unter Identity and Access Management im AWS Certificate Manager-Benutzerhandbuch.
Länge des Zertifikatschlüssels
Die Größe des Zertifikatschlüssels, die CloudFront unterstützt, hängt vom Typ des Schlüssels und des Zertifikats ab.
- Für RSA-Zertifikate:
-
CloudFront unterstützt 1024-Bit- und 2048-Bit-RSA-Schlüssel. Wir empfehlen 2048-Bit-Schlüssel. Die maximale Länge für ein RSA-Zertifikat, das Sie mit CloudFront verwenden, beträgt 2048 Bit, auch wenn ACM größere Schlüssel unterstützt.
Informationen zum Ermitteln der Länge des RSA-Schlüssels finden Sie unter Bestimmen der Länge des öffentlichen Schlüssel in einem SSL-/TLS-RSA-Zertifikat.
- Für ECDSA-Zertifikate:
-
CloudFront unterstützt 256-Bit-Schlüssel. Um ein ECDSA-Zertifikat in ACM zu verwenden, um die Verwendung von HTTPS für die Kommunikation zwischen Viewern und CloudFront zu erzwingen, verwenden Sie die elliptische Kurve prime256v1.
Unterstützte Typen von Zertifikaten
CloudFront unterstützt alle Arten von Zertifikaten, die von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurden.
Ablaufdatum des Zertifikats und Zertifikaterneuerung
Wenn Sie Zertifikate verwenden, die Sie von einer Drittanbieter-Zertifizierungsstelle (CA) erhalten, müssen Sie die Gültigkeitsdauer von Zertifikaten überwachen und Zertifikate verlängern, die Sie in AWS Certificate Manager (ACM) importieren oder in den AWS Identity and Access Management-Zertifikatsspeicher hochladen, bevor sie ablaufen.
Wenn Sie von ACM bereitgestellte Zertifikate verwenden, werden die Erneuerungen dieser Zertifikate von ACM verwaltet. Weitere Informationen finden Sie unter Verwaltete Erneuerung im AWS Certificate Manager-Benutzerhandbuch.
Domänennamen in der CloudFront-Verteilung und im Zertifikat
Wenn Sie einen benutzerdefinierten Ursprung verwenden, enthält das SSL/TLS-Zertifikat auf Ihrem Ursprung einen Domänennamen im Feld Allgemeiner Name und möglicherweise mehrere weitere im Feld Alternative Antragstellernamen. (CloudFront unterstützt in Zertifikat-Domänennamen Platzhalterzeichen.)
Einer der Domänennamen im Zertifikat muss mit dem Domänennamen übereinstimmen, den Sie in „Origin Domain Name (Ursprungsdomänenname)“ angeben. Wenn kein Domänenname übereinstimmt, gibt CloudFront den HTTP-Statuscode 502 (Bad Gateway)
an den Viewer zurück.
Wenn Sie einer Verteilung einen alternativen Domänennamen hinzufügen, prüft CloudFront, ob der alternative Domänenname durch das von Ihnen angefügte Zertifikat abgedeckt wird. Das Zertifikat muss den alternativen Domänennamen im Feld „Subject Alternate Name (SAN)“ des Zertifikats abdecken. Dies bedeutet, dass das SAN-Feld eine exakte Übereinstimmung mit dem alternativen Domänennamen oder einen Platzhalter auf der gleichen Ebene des alternativen Domänennamens enthalten muss, den Sie hinzufügen.
Weitere Informationen finden Sie unter Voraussetzungen für die Verwendung von alternativen Domänennamen.
Mindestversion des SSL/TLS-Protokolls
Wenn Sie dedizierte IP-Adressen verwenden, wählen Sie eine SSL-/TLS-Mindestprotokollversion für die Verbindung zwischen Viewern und CloudFront, indem Sie eine Sicherheitsrichtlinie auswählen.
Weitere Informationen finden Sie Sicherheitsrichtlinie im Thema Werte, die Sie beim Erstellen oder Aktualisieren einer Verteilung angeben.
Unterstützte HTTP-Versionen
Wenn Sie ein Zertifikat mit mehr als einer CloudFront-Verteilung verknüpfen, müssen alle mit dem Zertifikat verknüpften Verteilungen dieselbe Option für Unterstützte HTTP-Versionen verwenden. Diese Option geben Sie beim Anlegen oder Aktualisieren einer CloudFront-Verteilung an.