Festlegen der Art der Bedienung von HTTPS-Anforderungen durch CloudFront - Amazon CloudFront

Festlegen der Art der Bedienung von HTTPS-Anforderungen durch CloudFront

Wenn Viewer per HTTPS kommunizieren und alternative Domänennamen für Ihre Dateien verwenden sollen, müssen Sie mit einer der folgenden Optionen festlegen, wie HTTPS-Anforderungen von CloudFront beantwortet werden:

  • Verwenden der Servernamensanzeige (Server Name Indication, SNI) – Empfohlen

  • Verwenden einer dedizierten IP-Adresse an jedem Edge-Standort

In diesem Abschnitt wird erläutert, wie beide Optionen funktionieren.

Verwenden von SNI für die Beantwortung von HTTPS-Anforderungen (funktioniert für die meisten Clients)

Die Servernamensanzeige (SNI) ist eine Erweiterung des TLS-Protokolls, die in Browsern und Clients unterstützt wird, die nach 2010 veröffentlicht wurden. Wenn Sie CloudFront für die Bedienung von HTTPS-Anforderungen mittels SNI konfigurieren, verknüpft CloudFront Ihren alternativen Domänennamen mit einer IP-Adresse für jeden Edge-Standort. Sobald ein Viewer Inhalte von Ihnen durch Senden einer HTTPS-Anforderung abruft, leitet DNS die Anforderung an die IP-Adresse des korrekten Edge-Standorts weiter. Die IP-Adresse für Ihren Domänennamen wird während der SSL-/TLS-Handshake-Aushandlung bestimmt; die IP-Adresse ist nicht für Ihre Verteilung reserviert.

Die SSL-/TLS-Aushandlung erfolgt sehr früh im Prozess der Herstellung einer HTTPS-Verbindung. Wenn CloudFront die Zieldomäne nicht sofort bestimmen kann, wird die Verbindung getrennt. Sobald ein Viewer, der SNI unterstützt, eine HTTPS-Anforderung zwecks Abrufs Ihrer Inhalte sendet, geschieht Folgendes:

  1. Der Viewer entnimmt den Domänennamen automatisch dem Anforderungs-URL und fügt ihn zu einem Feld im Anforderungs-Header hinzu.

  2. Wenn CloudFront die Anforderung empfängt, findet es den Domänennamen im Anforderungs-Header und beantwortet die Anforderung mit dem entsprechenden SSL-/TLS-Zertifikat.

  3. Zwischen dem Viewer und CloudFront finden SSL- bzw. TLS-Aushandlungen statt.

  4. CloudFront gibt den angeforderten Inhalt an den Viewer zurück.

Eine aktuelle Liste der Browser, die SNI unterstützen, finden Sie im Wikipedia-Eintrag Server Name Indication.

Wenn Sie SNI nutzen möchten, jedoch einige Ihrer Benutzer Browser verwenden, die SNI nicht unterstützen, haben Sie mehrere Möglichkeiten:

  • Konfigurieren Sie CloudFront für die Bedienung von HTTPS-Anforderungen unter Verwendung dedizierter IP-Adressen anstelle von SNI. Weitere Informationen finden Sie unter Verwenden dedizierter IP-Adressen für die Beantwortung von HTTPS-Anforderungen (funktioniert für alle Clients).

  • Verwenden Sie das CloudFront-eigene SSL-/TLS-Zertifikat anstelle eines benutzerdefinierten Zertifikats. Dies erfordert, dass Sie den CloudFront-Domänennamen für Ihre Verteilung in den URLs für Ihre Dateien verwenden, z. B, https://d111111abcdef8.cloudfront.net/logo.png.

    Falls Sie das standardmäßige CloudFront-Zertifikat verwenden, müssen die Viewer das SSL-Protokoll TLSv1 (oder eine neuere Version) unterstützen. SSLv3 wird von CloudFront in Verbindung mit dem standardmäßigen CloudFront-Zertifikat nicht unterstützt.

    Zudem müssen Sie auch das von CloudFront verwendete SSL-/TLS-Zertifikat ändern, indem Sie das benutzerdefinierte Zertifikat durch das standardmäßige CloudFront-Zertifikat ersetzen:

  • Wenn Sie Einfluss darauf haben, welche Browser Ihre Benutzer verwenden, können Sie veranlassen, dass sie ihre Browser auf eine Version aktualisieren, die SNI unterstützt.

  • Verwenden Sie HTTP anstelle von HTTPS.

Verwenden dedizierter IP-Adressen für die Beantwortung von HTTPS-Anforderungen (funktioniert für alle Clients)

Die Servernamensanzeige (SNI) ist eine Möglichkeit, eine Anforderung mit einer Domäne zu verknüpfen. Eine weitere Möglichkeit ist die Verwendung einer dedizierten IP-Adresse. Wenn Sie Benutzer haben, die nicht zu einem Browser oder Client wechseln können, der nach 2010 veröffentlicht wurde, können Sie eine dedizierte IP-Adresse für die Bedienung von HTTPS-Anforderungen verwenden. Eine aktuelle Liste der Browser, die SNI unterstützen, finden Sie im Wikipedia-Eintrag Server Name Indication.

Wichtig

Wenn Sie CloudFront für die Bedienung von HTTPS-Anforderungen unter Verwendung dedizierter IP-Adressen konfigurieren, fallen zusätzliche monatliche Gebühren an. Der Zeitraum, für den die Gebühren anfallen, beginnt, sobald Sie Ihr SSL-/TLS-Zertifikat mit einer Verteilung verknüpfen und die Verteilung aktivieren. Weitere Informationen zu CloudFront-Preisen finden Sie unter Amazon CloudFront – Preise. Zusätzliche, in diesem Zusammenhang interessante Details finden Sie unter Using the Same Certificate for Multiple CloudFront Distributions.

Wenn Sie CloudFront für die Bedienung von HTTPS-Anforderungen unter Verwendung dedizierter IP-Adressen konfigurieren, verknüpft CloudFront Ihren alternativen Domänennamen mit einer dedizierten IP-Adresse an jedem CloudFront-Edge-Standort. Sobald ein Viewer eine HTTPS-Anforderung zwecks Abrufs Ihrer Inhalte sendet, geschieht Folgendes:

  1. DNS leitet die Anforderung an die IP-Adresse Ihrer Verteilung am jeweils zuständigen Edge-Standort weiter.

  2. CloudFront verwendet die IP-Adresse zur Identifizierung Ihrer Verteilung und Bestimmung des SSL-/TLS-Zertifikats, das an den Viewer zurückgegeben werden soll.

  3. Zwischen dem Viewer und CloudFront finden SSL- bzw. TLS-Aushandlungen unter Verwendung Ihres SSL-/TLS-Zertifikats statt.

  4. CloudFront gibt den angeforderten Inhalt an den Viewer zurück.

Diese Methode funktioniert für jede HTTPS-Anforderung, unabhängig von dem Browser oder Viewer anderer Art, den der Benutzer verwendet.

Beantragen der Berechtigung zur Verwendung von drei oder mehr dedizierte IP-SSL-/TLS-Zertifikaten

Verfahren Sie wie folgt, wenn Sie eine Berechtigung zur dauerhaften Verknüpfung von CloudFront mit mindestens drei in Verbindung mit dedizierten IP-Adressen verwendbaren SSL-/TLS-Zertifikaten benötigen. Weitere Informationen zu HTTPS-Anforderungen finden Sie unter Festlegen der Art der Bedienung von HTTPS-Anforderungen durch CloudFront.

Anmerkung

Diese Vorgehensweise gilt für den Fall, dass mehr als drei dedizierten IP-Zertifikate für die Gesamtheit aller CloudFront-Verteilungen verwendet werden sollen. Der Standardwert lautet 2. Beachten Sie, dass Sie nicht mehr als ein SSL-Zertifikat an eine Verteilung binden können.

Sie können jeweils nur ein einziges SSL-/TLS-Zertifikat mit einer CloudFront-Verteilung verknüpfen. Die Zahl, um die es hier geht, bezieht sich auf die Gesamtanzahl von in Verbindung mit dedizierten IP-Adressen verwendbaren SSL-Zertifikaten, bezogen auf die Gesamtheit aller vorhandenen CloudFront-Verteilungen.

So beantragen Sie eine Berechtigung zur Verwendung von drei oder mehr Zertifikaten mit einer CloudFront-Verteilung

  1. Besuchen Sie das Support Center und erstellen Sie einen Fall.

  2. Geben Sie die Anzahl der Zertifikate an, die Sie benötigen, und beschreiben Sie die Umstände in Ihrer Beantragung. Wir werden Ihr Konto so bald wie möglich aktualisieren.

  3. Fahren Sie mit dem nächsten Schritt fort.