Erfordern Sie HTTPS für die Kommunikation zwischen CloudFront und Ihrem benutzerdefinierten Ursprung

Sie können HTTPS für die Kommunikation zwischen CloudFront und Ihrem Ursprung verlangen.

Anmerkung

Wenn Ihr Ursprung ein Amazon S3-Bucket ist, der als Website-Endpunkt konfiguriert ist, können Sie die Verwendung von HTTPS mit Ihrem Ursprung nicht konfigurieren CloudFront , da Amazon S3 HTTPS für Website-Endpunkte nicht unterstützt.

Um HTTPS zwischen CloudFront und Ihrem Ursprung zu verlangen, folgen Sie den Verfahren in diesem Thema, um Folgendes zu tun:

1. Ändern Sie in Ihrer Verteilung die Einstellung Origin Protocol Policy (Ursprungsprotokollrichtlinie) für den Ursprung

2. Installieren Sie ein SSL/TLS-Zertifikat auf Ihrem Ursprungsserver (dies ist nicht erforderlich, wenn Sie einen Amazon S3 S3-Ursprung oder bestimmte andere AWS Ursprünge verwenden).

Erfordern Sie HTTPS für benutzerdefinierte Ursprünge

Das folgende Verfahren erklärt, wie Sie die Verwendung von HTTPS für die Kommunikation mit einem Elastic Load Balancing Load Balancer, einer Amazon EC2 EC2-Instance oder einem anderen benutzerdefinierten Ursprung konfigurieren CloudFront . Informationen zur Verwendung der CloudFront API zur Aktualisierung einer Distribution finden Sie UpdateDistributionin der Amazon CloudFront API-Referenz.

Um CloudFront zu konfigurieren, dass HTTPS zwischen CloudFront und Ihrem benutzerdefinierten Ursprung erforderlich ist

1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die CloudFront Konsole unterhttps://console.aws.amazon.com/cloudfront/v4/home.

2. Wählen Sie im oberen Bereich der CloudFront Konsole die ID für die Distribution aus, die Sie aktualisieren möchten.

3. Wählen Sie auf der Registerkarte Verhalten den Ursprung aus, den Sie aktualisieren möchten, und klicken Sie dann auf Bearbeiten.

4. Aktualisieren Sie die folgenden Einstellungen:

   Ursprungsprotokollrichtlinien

   Ändern Sie die Einstellung von Origin Protocol Policy für die den betroffenen Ursprung in Ihrer Verteilung:

   • Nur HTTPS — CloudFront verwendet nur HTTPS für die Kommunikation mit Ihrem benutzerdefinierten Ursprung.

   • Match Viewer — CloudFront kommuniziert mit deinem benutzerdefinierten Absender über HTTP oder HTTPS, je nach Protokoll der Zuschaueranfrage. Wenn Sie beispielsweise Match Viewer für Origin Protocol Policy wählen und der Viewer HTTPS verwendet, um ein Objekt anzufordern CloudFront, verwendet er CloudFront auch HTTPS, um die Anfrage an Ihren Ursprung weiterzuleiten.

     Wählen Sie Match Viewer nur dann, wenn Sie Redirect HTTP to HTTPS oder HTTPS Only für Viewer Protocol Policy auswählen.

     CloudFront speichert das Objekt nur einmal im Cache, auch wenn Zuschauer Anfragen sowohl mit HTTP- als auch mit HTTPS-Protokollen stellen.

   Origin SSL Protocols

   Wählen Sie die SSL-Protokolle für den ausgewählten Ursprung in Ihrer Verteilung aus. Das SSLv3-Protokoll ist weniger sicher. Daher empfehlen wir, SSLv3 nur zu verwenden, wenn Ihr Ursprung TLSv1 oder eine spätere Version nicht unterstützt. Der TLSv1-Handshake ist sowohl abwärts- als auch vorwärtskompatibel mit SSLv3, TLSv1.1 und höher jedoch nicht. Wenn Sie SSLv3 wählen, werden nur SSLv3-Handshake-Anfragen gesendet. CloudFront

5. Wählen Sie Änderungen speichern aus.

6. Wiederholen Sie die Schritte 3 bis 5 für jeden weiteren Ursprung, für den Sie HTTPS benötigen möchten, und für Ihren benutzerdefinierten Ursprung. CloudFront

7. Vergewissern Sie sich, dass folgende Punkte erfüllt sind, bevor Sie die aktualisierte Konfiguration in einer Produktionsumgebung verwenden:

   • Das Pfadmuster eines jeden Cache-Verhaltens wird nur auf die Anforderungen angewendet, für die die Viewer HTTPS verwenden sollen.

   • Die Cache-Verhaltensweisen werden in der Reihenfolge aufgeführt, in der Sie sie auswerten CloudFront möchten. Weitere Informationen finden Sie unter Pfadmuster.

   • Die Cache-Verhaltensweisen leiten Anforderungen an die Ursprünge weiter, deren Origin Protocol Policy-Einstellung Sie geändert haben.

Installieren Sie ein SSL/TLS-Zertifikat auf Ihrem benutzerdefinierten Ursprung

Sie können ein SSL-/TLS-Zertifikat von den folgenden Quellen auf Ihrem benutzerdefinierten Ursprungs-Server verwenden:

• Wenn Ihr Ursprung ein Elastic Load Balancing-Load Balancer ist, können Sie ein Zertifikat verwenden, das von AWS Certificate Manager (ACM) bereitgestellt wird. Sie können auch ein Zertifikat verwenden, das von einer vertrauenswürdigen Zertifizierungsstelle signiert und in ACM importiert wurde.

• Für andere Quellen als Elastic Load Balancing Load Balancer müssen Sie ein Zertifikat verwenden, das von einer vertrauenswürdigen Zertifizierungsstelle (CA) eines Drittanbieters signiert wurde, z. B. Comodo oder DigiCert Symantec.

Das vom Ursprungs zurückgegebene Zertifikat muss einen der folgenden Domänennamen enthalten:

• Der Domainname im Feld Origin-Domain des Ursprungs (das DomainName Feld in der CloudFront API).

• Den Domänennamen im Host-Header, wenn das Cache-Verhalten so konfiguriert ist, dass der Host-Header zum Ursprung weiterleitet.

Wenn HTTPS für die Kommunikation mit Ihrem Ursprungsserver CloudFront verwendet wird, CloudFront wird überprüft, ob das Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde. CloudFront unterstützt dieselben Zertifizierungsstellen wie Mozilla. Die aktuelle Liste finden Sie unter Mozilla-Liste der CA-Zertifikate. Sie können kein selbstsigniertes Zertifikat für die HTTPS-Kommunikation zwischen CloudFront und Ihrem Ursprung verwenden.

Wichtig

Wenn der Ursprungsserver ein abgelaufenes Zertifikat, ein ungültiges Zertifikat oder ein selbstsigniertes Zertifikat zurückgibt oder wenn der Ursprungsserver die Zertifikatskette in der falschen Reihenfolge zurückgibt, CloudFront bricht er die TCP-Verbindung ab, gibt den HTTP-Statuscode 502 (Bad Gateway) an den Viewer zurück und setzt den X-Cache Header auf. Error from cloudfront Außerdem wird die TCP-Verbindung unterbrochen, wenn die gesamte Zertifikatskette, einschließlich des Zwischenzertifikats CloudFront , nicht vorhanden ist.