Configuración de nombres de dominio alternativos y HTTPS

Para usar nombres de dominio alternativos en las URL de tus archivos y usar HTTPS entre los espectadores CloudFront, sigue los procedimientos correspondientes.

Obtenga un certificado SSL/TLS

Obtenga un certificado SSL/TLS si aún no dispone de uno. Para obtener más información, consulte la documentación aplicable:

• Para utilizar un certificado proporcionado por AWS Certificate Manager (ACM), consulte la Guía del usuario de AWS Certificate Manager. A continuación, diríjase a Actualizar tu distribución CloudFront .

  nota

  Le recomendamos que utilice ACM para aprovisionar, administrar e implementar los certificados SSL/TLS en los recursos administrados de AWS. Debe solicitar un certificado de ACM en la región EE. UU. Este (Norte de Virginia).

• Para obtener un certificado de una entidad de certificación (CA) de terceros, consulte la documentación que proporciona. Cuando tenga el certificado, continúe con el siguiente procedimiento.

Import un certificado SSL/TLS

Si ha obtenido el certificado de una entidad de certificación de terceros, importe el certificado a ACM o cárguelo en el almacén de certificados de IAM:

ACM (recomendado)

ACM le permite importar certificados de terceros desde la consola de ACM y de forma programada. Para obtener más información sobre la importación de un certificado a ACM, consulte Importación de certificados a AWS Certificate Manager en la Guía del usuario de AWS Certificate Manager. Debe importar el certificado en la región EE. UU. Este (Norte de Virginia).

Almacén de certificados de IAM

(No recomendado) Utilice el siguiente comando de AWS CLI para cargar el certificado de terceros en el almacén de certificados de IAM.

aws iam upload-server-certificate \
        --server-certificate-name CertificateName \
        --certificate-body file://public_key_certificate_file \
        --private-key file://privatekey.pem \
        --certificate-chain file://certificate_chain_file \
        --path /cloudfront/path/

Tenga en cuenta lo siguiente:

• AWScuenta: debe cargar el certificado en el almacén de certificados de IAM con la misma AWS cuenta que utilizó para crear la distribución. CloudFront

• Parámetro --path: al cargar el certificado en IAM, el valor del parámetro --path (ruta del certificado) debe comenzar por /cloudfront/, por ejemplo, /cloudfront/production/ o /cloudfront/test/. La ruta debe acabar con una /.

• Certificados existentes: debe especificar valores para los parámetros --server-certificate-name y --path que sean diferentes de los valores asociados con los certificados existentes.

• Uso de la CloudFront consola: el valor que especifique para el --server-certificate-name parámetro enAWS CLI, por ejemplomyServerCertificate, aparece en la lista de certificados SSL de la CloudFront consola.

• Uso de la CloudFront API: anote la cadena alfanumérica que AWS CLI devuelve, por ejemplo. AS1A2M3P4L5E67SIIXR3J Este es el valor que se especifica en el elemento IAMCertificateId. No es necesario el ARN de IAM, que también devuelve la CLI.

Para obtener más información sobre AWS CLI, consulte la Guía del usuario de AWS Command Line Interface y la Referencia de comandos de AWS CLI.

Actualizar tu distribución CloudFront

Para actualizar la configuración de su distribución, realice el siguiente procedimiento:

Para configurar la CloudFront distribución para nombres de dominio alternativos

1. Inicie sesión en AWS Management Console y abra la CloudFront consola enhttps://console.aws.amazon.com/cloudfront/v4/home.

2. Elija la ID de la distribución que desea actualizar.

3. En la pestaña General, seleccione Edit.

4. Actualice los siguientes valores:

   Nombres de dominio alternativos (CNAME)

   Añada los nombres de dominio alternativos aplicables. Separe los nombres de dominio con comas o escriba uno por línea.

   SSL Certificate

   Elija Custom SSL Certificate (Certificado SSL personalizado) y seleccione un certificado de la lista.

   Aquí se enumeran hasta 100 certificados. Si tiene más de 100 certificados y no ve el certificado que desea añadir, puede escribir un ARN de certificado en el campo para elegirlo.

   Si ha cargado un certificado al almacén de certificados de IAM pero no está en la lista y no puede elegirlo escribiendo el nombre en el campo, revise el procedimiento Import un certificado SSL/TLS para confirmar que el certificado se ha cargado correctamente.

   importante

   Después de asociar el certificado SSL/TLS a la CloudFront distribución, no elimine el certificado de ACM ni del almacén de certificados de IAM hasta que lo elimine de todas las distribuciones y hasta que el estado de las distribuciones haya cambiado a Implementado.

   Cliente admitidos

   Elija la opción aplicable:

   • Todos los clientes: publica su contenido HTTPS mediante direcciones IP CloudFront dedicadas. Si selecciona esta opción, se le cobrarán los cargos adicionales al asociar su certificado SSL/TLS a una distribución habilitada. Para obtener más información, consulta los CloudFront precios de Amazon.

   • Only Clients that Support Server Name Indication (SNI) (Solo los clientes que admiten indicación de nombre de servidor) (SNI): los navegadores antiguos u otros clientes que no admitan SNI deben usar otro método para obtener acceso a su contenido.

   Para obtener más información, consulte Elegir cómo se CloudFront atienden las solicitudes HTTPS.

5. Elija Yes, Edit (Sí, editar).

6. CloudFront Configúralo para que se requiera el uso de HTTPS entre los espectadores y CloudFront:

   1. En la pestaña Behaviors (Comportamientos), elija el comportamiento de la caché que desee actualizar y después elija Edit (Editar).

   2. Especifique uno de los siguientes valores en Viewer Protocol Policy (Política de protocolo del espectador):

      Redireccionamiento de HTTP a HTTPS

      Los lectores pueden utilizar ambos protocolos, pero las solicitudes HTTP se redirigen automáticamente a solicitudes HTTPS. CloudFront devuelve el código de estado HTTP 301 (Moved Permanently) junto con la nueva URL HTTPS. A continuación, el espectador vuelve a enviar la solicitud CloudFront mediante la URL HTTPS.

      importante

      CloudFront no redirigeDELETE,, OPTIONS PATCHPOST, ni PUT las solicitudes de HTTP a HTTPS. Si configuras un comportamiento de caché para redirigirlo a HTTPS, CloudFront responde a HTTPDELETE,, OPTIONS PATCHPOST, o a PUT las solicitudes de ese comportamiento de caché con un código de estado HTTP403 (Forbidden).

      Cuando un espectador realiza una solicitud HTTP que se redirige a una solicitud HTTPS, CloudFront cobra por ambas solicitudes. En el caso de la solicitud HTTP, el cargo es solo para la solicitud y para los encabezados que CloudFront devuelve al espectador. En el caso de la solicitud HTTPS, el cargo es por la solicitud y por los encabezados y el archivo que el origen devuelve.

      Solo HTTPS

      Los espectadores pueden obtener acceso a su contenido solo si utilizan HTTPS. Si un espectador envía una solicitud HTTP en lugar de una solicitud HTTPS, CloudFront devuelve el código de estado HTTP 403 (Forbidden) y no devuelve el archivo.

   3. Elija Yes, Edit (Sí, editar).

   4. Repita los pasos "a" a "c" para cada comportamiento de la caché adicional para el que desee solicitar HTTPS entre los espectadores y CloudFront.

7. Confirme lo siguiente antes de utilizar la configuración actualizada en un entorno de producción:

   • El patrón de ruta de cada comportamiento de la caché es aplicable únicamente a las solicitudes en las que desea que los espectadores utilicen HTTPS.

   • Los comportamientos de la caché se enumeran en el orden en que desee que CloudFront los evalúe. Para obtener más información, consulte Patrón de ruta.

   • Los comportamientos de la caché son solicitudes de redirección hacia los orígenes correctos.