Wählen Sie aus, wie CloudFront HTTPS-Anfragen bearbeitet werden

Wenn Sie möchten, dass Ihre Zuschauer HTTPS und alternative Domainnamen für Ihre Dateien verwenden, wählen Sie eine der folgenden Optionen für die Bearbeitung von CloudFront HTTPS-Anfragen:

• Verwenden der Servernamensanzeige (Server Name Indication, SNI) – Empfohlen

• Verwenden einer dedizierten IP-Adresse an jedem Edge-Standort

In diesem Abschnitt wird erläutert, wie beide Optionen funktionieren.

Verwenden Sie SNI, um HTTPS-Anfragen zu bearbeiten (funktioniert für die meisten Kunden)

Die Servernamensanzeige (SNI) ist eine Erweiterung des TLS-Protokolls, die in Browsern und Clients unterstützt wird, die nach 2010 veröffentlicht wurden. Wenn Sie so konfigurieren CloudFront , dass HTTPS-Anfragen mithilfe von SNI bedient werden CloudFront , verknüpfen Sie Ihren alternativen Domainnamen mit einer IP-Adresse für jeden Edge-Standort. Sobald ein Viewer Inhalte von Ihnen durch Senden einer HTTPS-Anforderung abruft, leitet DNS die Anforderung an die IP-Adresse des korrekten Edge-Standorts weiter. Die IP-Adresse für Ihren Domänennamen wird während der SSL-/TLS-Handshake-Aushandlung bestimmt; die IP-Adresse ist nicht für Ihre Verteilung reserviert.

Die SSL-/TLS-Aushandlung erfolgt sehr früh im Prozess der Herstellung einer HTTPS-Verbindung. Wenn CloudFront Sie nicht sofort feststellen können, für welche Domain die Anfrage bestimmt ist, wird die Verbindung unterbrochen. Sobald ein Viewer, der SNI unterstützt, eine HTTPS-Anforderung zwecks Abrufs Ihrer Inhalte sendet, geschieht Folgendes:

1. Der Betrachter ruft den Domainnamen automatisch aus der Anfrage-URL ab und fügt ihn der SNI-Erweiterung der Hello-Nachricht des TLS-Clients hinzu.

2. Wenn der TLS-Client die Hello -Nachricht CloudFront empfängt, verwendet er den Domainnamen in der SNI-Erweiterung, um die passende CloudFront Distribution zu finden, und sendet das zugehörige TLS-Zertifikat zurück.

3. Der Betrachter und CloudFront führt die SSL/TLS-Aushandlung durch.

4. CloudFront gibt den angeforderten Inhalt an den Viewer zurück.

Eine aktuelle Liste der Browser, die SNI unterstützen, finden Sie im Wikipedia-Eintrag Server Name Indication.

Wenn Sie SNI nutzen möchten, jedoch einige Ihrer Benutzer Browser verwenden, die SNI nicht unterstützen, haben Sie mehrere Möglichkeiten:

• Konfigurieren Sie CloudFront die Konfiguration für die Bearbeitung von HTTPS-Anfragen mithilfe von dedizierten IP-Adressen anstelle von SNI. Weitere Informationen finden Sie unter Verwenden Sie eine dedizierte IP-Adresse, um HTTPS-Anfragen zu bearbeiten (funktioniert für alle Clients).

• Verwenden Sie das CloudFront SSL/TLS-Zertifikat anstelle eines benutzerdefinierten Zertifikats. Dies erfordert, dass Sie den CloudFront Domainnamen für Ihre Verteilung in den URLs für Ihre Dateien verwenden, z. B. https://d111111abcdef8.cloudfront.net/logo.png

  Wenn Sie das CloudFront Standardzertifikat verwenden, müssen Zuschauer das SSL-Protokoll TLSv1 oder höher unterstützen. CloudFront unterstützt SSLv3 mit dem Standardzertifikat nicht. CloudFront

  Sie müssen auch das verwendete SSL/TLS-Zertifikat von einem benutzerdefinierten Zertifikat auf das CloudFront Standardzertifikat ändern: CloudFront

  • Wenn Sie Ihre Verteilung noch nicht zur Verteilung Ihrer Inhalte genutzt haben, können Sie einfach die Konfiguration ändern. Weitere Informationen finden Sie unter Eine Verteilung aktualisieren.

  • Wenn Sie Ihre Inhalte über Ihre Distribution verbreitet haben, müssen Sie eine neue CloudFront Distribution erstellen und die URLs für Ihre Dateien ändern, um die Zeit, in der Ihre Inhalte nicht verfügbar sind, zu verringern oder zu vermeiden. Weitere Informationen finden Sie unter Kehren Sie von einem benutzerdefinierten SSL/TLS-Zertifikat zum Standardzertifikat zurück CloudFront .

• Wenn Sie Einfluss darauf haben, welche Browser Ihre Benutzer verwenden, können Sie veranlassen, dass sie ihre Browser auf eine Version aktualisieren, die SNI unterstützt.

• Verwenden Sie HTTP anstelle von HTTPS.

Verwenden Sie eine dedizierte IP-Adresse, um HTTPS-Anfragen zu bearbeiten (funktioniert für alle Clients)

Die Servernamensanzeige (SNI) ist eine Möglichkeit, eine Anforderung mit einer Domäne zu verknüpfen. Eine weitere Möglichkeit ist die Verwendung einer dedizierten IP-Adresse. Wenn Sie Benutzer haben, die nicht zu einem Browser oder Client wechseln können, der nach 2010 veröffentlicht wurde, können Sie eine dedizierte IP-Adresse für die Bedienung von HTTPS-Anforderungen verwenden. Eine aktuelle Liste der Browser, die SNI unterstützen, finden Sie im Wikipedia-Eintrag Server Name Indication.

Wichtig

Wenn Sie so konfigurieren CloudFront , dass HTTPS-Anfragen über dedizierte IP-Adressen bedient werden, fällt eine zusätzliche monatliche Gebühr an. Der Zeitraum, für den die Gebühren anfallen, beginnt, sobald Sie Ihr SSL-/TLS-Zertifikat mit einer Verteilung verknüpfen und die Verteilung aktivieren. Weitere Informationen zur CloudFront Preisgestaltung finden Sie unter CloudFront Amazon-Preise. Zusätzliche, in diesem Zusammenhang interessante Details finden Sie unter Using the Same Certificate for Multiple CloudFront Distributions.

Wenn Sie so konfigurieren CloudFront , dass HTTPS-Anfragen mithilfe von dedizierten IP-Adressen bearbeitet werden CloudFront, ordnen Sie Ihr Zertifikat an jedem CloudFront Edge-Standort einer dedizierten IP-Adresse zu. Sobald ein Viewer eine HTTPS-Anforderung zwecks Abrufs Ihrer Inhalte sendet, geschieht Folgendes:

1. DNS leitet die Anforderung an die IP-Adresse Ihrer Verteilung am jeweils zuständigen Edge-Standort weiter.

2. Wenn eine Client-Anfrage die SNI-Erweiterung in der ClientHello Nachricht enthält, wird nach einer Distribution CloudFront gesucht, die diesem SNI zugeordnet ist.

   • Wenn es eine Übereinstimmung gibt, CloudFront beantwortet die Anfrage mit dem SSL/TLS-Zertifikat.

   • Wenn es keine Übereinstimmung gibt, CloudFront wird stattdessen die IP-Adresse verwendet, um Ihre Distribution zu identifizieren und zu bestimmen, welches SSL/TLS-Zertifikat an den Betrachter zurückgegeben werden soll.

3. Der Betrachter und CloudFront führt die SSL/TLS-Aushandlung mithilfe Ihres SSL/TLS-Zertifikats durch.

4. CloudFront gibt den angeforderten Inhalt an den Viewer zurück.

Diese Methode funktioniert für jede HTTPS-Anforderung, unabhängig von dem Browser oder Viewer anderer Art, den der Benutzer verwendet.

Anmerkung

Dedizierte IPs sind keine statischen IPs und können sich im Laufe der Zeit ändern. Die IP-Adresse, die für den Edge-Standort zurückgegeben wird, wird dynamisch aus den IP-Adressbereichen der CloudFront Edge-Serverliste zugewiesen.

Die IP-Adressbereiche für CloudFront Edge-Server können sich ändern. Um über Änderungen der IP-Adresse informiert zu werden, abonnieren Sie AWS Public IP Address Changes über Amazon SNS.

Beantragen Sie die Erlaubnis zur Verwendung von drei oder mehr dedizierten IP-SSL/TLS-Zertifikaten

Wenn Sie die Erlaubnis benötigen, drei oder mehr dedizierte SSL-/TLS-IP-Zertifikate dauerhaft zuzuordnen CloudFront, gehen Sie wie folgt vor. Weitere Informationen zu HTTPS-Anforderungen finden Sie unter Wählen Sie aus, wie CloudFront HTTPS-Anfragen bearbeitet werden.

Anmerkung

Dieses Verfahren gilt für die Verwendung von drei oder mehr dedizierten IP-Zertifikaten in Ihren CloudFront Distributionen. Der Standardwert lautet 2. Beachten Sie, dass Sie nicht mehr als ein SSL-Zertifikat an eine Verteilung binden können.

Sie können einer CloudFront Distribution jeweils nur ein einziges SSL/TLS-Zertifikat zuordnen. Diese Zahl steht für die Gesamtzahl der dedizierten IP-SSL-Zertifikate, die Sie in all Ihren CloudFront Distributionen verwenden können.

Um die Erlaubnis zur Verwendung von drei oder mehr Zertifikaten mit einer CloudFront Distribution zu beantragen

1. Besuchen Sie das Support Center und erstellen Sie einen Fall.

2. Geben Sie die Anzahl der Zertifikate an, die Sie benötigen, und beschreiben Sie die Umstände in Ihrer Beantragung. Wir werden Ihr Konto so bald wie möglich aktualisieren.

3. Fahren Sie mit dem nächsten Schritt fort.