Fallo en la negociación de SSL/TLS entre un servidor de origen personalizado CloudFront y un servidor de origen personalizado El origen no responde con protocolos ni cifrados admitidos El certificado SSL/TLS del origen ha caducado, no es válido, es autofirmado o el orden de la cadena de certificados es incorrecto El origen no responde en puertos especificados en la configuración de origen

Código de estado HTTP 502 (Puerta de enlace incorrecta)

Un código de estado HTTP 502 (puerta de enlace incorrecta) indica que CloudFront no pudo servir el objeto solicitado porque no se pudo conectar al servidor de origen.

Temas

Fallo en la negociación de SSL/TLS entre un servidor de origen personalizado CloudFront y un servidor de origen personalizado
El origen no responde con protocolos ni cifrados admitidos
El certificado SSL/TLS del origen ha caducado, no es válido, es autofirmado o el orden de la cadena de certificados es incorrecto
El origen no responde en puertos especificados en la configuración de origen

Fallo en la negociación de SSL/TLS entre un servidor de origen personalizado CloudFront y un servidor de origen personalizado

Si utilizas un origen personalizado y lo configuraste CloudFront para requerir HTTPS entre CloudFront y tu origen, es posible que el problema se deba a que los nombres de dominio no coinciden. El certificado SSL/TLS instalado en el origen incluye un nombre de dominio en el campo Common Name (Nombre común) y posiblemente varios más en el campo Subject Alternative Names (Nombres alternativos de firmantes). (CloudFront admite caracteres comodín en los nombres de dominio de los certificados). Uno de los nombres de dominio del certificado debe coincidir con uno o ambos de los siguientes valores:

El valor que especificó en Origin Domain Name (Nombre de dominio de origen) para el origen aplicable a la distribución.
El valor del Host encabezado si lo configuró CloudFront para reenviarlo Host a su origen. Para obtener más información acerca del reenvío del encabezado Host al origen, consulte Almacenamiento en caché de contenido en función de encabezados de solicitud.

Si los nombres de dominio no coinciden, se produce un error en el protocolo de enlace SSL/TLS y CloudFront devuelve el código de estado HTTP 502 (puerta de enlace incorrecta) y establece el encabezado en. X-Cache Error from cloudfront

Para determinar si los nombres de dominio del certificado coinciden con el Origin Domain Name (Nombre de dominio de origen) en la distribución o con el encabezado Host, utilice un comprobador SSL online u OpenSSL. Si los nombres de dominio no coinciden, tiene dos opciones:

Obtener un nuevo certificado SSL/TLS que incluya los nombres de dominio aplicables.

Si utiliza AWS Certificate Manager (ACM), consulte Solicitar un certificado público en la Guía del usuario de AWS Certificate Manager para solicitar un certificado nuevo.
Cambia la configuración de distribución para que ya CloudFront no intente usar SSL para conectarse con tu origen.

Comprobador de SSL en línea

Para encontrar una herramienta de comprobación de SSL, busque en Internet "comprobador ssl online". Por lo general, especifica el nombre de su dominio y la herramienta devuelve información acerca de su certificado SSL/TLS. Compruebe que el certificado contenga su nombre de dominio en los campos Nombre común o Nombres alternativos de sujeto.

OpenSSL

Para ayudarte a solucionar los errores de HTTP 502 CloudFront, puedes usar OpenSSL para intentar establecer una conexión SSL/TLS con tu servidor de origen. Si OpenSSL no puede establecer una conexión, puede indicar un problema con la configuración de SSL/TLS del servidor de origen. Si OpenSSL puede establecer una conexión, devuelve información sobre el certificado del servidor de origen, incluido el nombre común (campo Subject CN) y el nombre alternativo del sujeto (campo Subject Alternative Name) del certificado.

Utilice el siguiente comando OpenSSL para probar la conexión con el servidor de origen (sustituya nombre de dominio de origen por el nombre de dominio del servidor de origen, como example.com):

openssl s_client -connect origin domain name:443

Si se cumplen las siguientes condiciones:

El servidor de origen admite varios nombres de dominio con varios certificados SSL/TLS
Su distribución está configurada para reenviar el encabezado Host al origen

Agregue la opción -servername al comando OpenSSL, como en el siguiente ejemplo (sustituya CNAME por el CNAME configurado en la distribución):

openssl s_client -connect origin domain name:443 -servername CNAME

El origen no responde con protocolos ni cifrados admitidos

CloudFront se conecta a los servidores de origen mediante cifrados y protocolos. Para obtener una lista de los cifrados y protocolos CloudFront compatibles, consulte. Protocolos y cifrados compatibles entre CloudFront y el origen Si su origen no responde con uno de estos cifrados o protocolos en el intercambio SSL/TLS, no podrá conectarse. CloudFront Use una herramienta en línea como SSL Labs para comprobar si el origen es compatible con los cifrados y protocolos. Escriba el nombre de dominio del origen en el campo Hostname (Nombre de host) y, a continuación, elija Submit (Enviar). Revise los campos Common names (Nombres comunes) y Alternative names (Nombres alternativos) de la prueba para ver si coinciden con el nombre de dominio del origen. Una vez finalizada la prueba, busque las secciones Protocols (Protocolos) y Cipher Suites (Conjuntos de cifrado) del resultado de las pruebas para saber qué protocolos o cifrados admite el origen. Compárelos con la lista que aparece en Protocolos y cifrados compatibles entre CloudFront y el origen.

El certificado SSL/TLS del origen ha caducado, no es válido, es autofirmado o el orden de la cadena de certificados es incorrecto

Si el servidor de origen devuelve lo siguiente, interrumpe la CloudFront conexión TCP, devuelve el código de estado HTTP 502 (puerta de enlace incorrecta) y establece el encabezado en: X-Cache Error from cloudfront

Un certificado caducado
Un certificado no válido
Un certificado autofirmado
Orden incorrecto en una cadena de certificados

nota

Si la cadena completa de certificados, incluido el certificado intermedio, no está presente, se CloudFront interrumpe la conexión TCP.

Para obtener más información acerca de cómo instalar un certificado SSL/TLS en su servidor de origen personalizado, consulte Se requiere HTTPS para la comunicación entre CloudFront y su origen personalizado.

El origen no responde en puertos especificados en la configuración de origen

Al crear un origen en la CloudFront distribución, puede configurar los puertos con los que CloudFront se conecta al origen para el tráfico HTTP y HTTPS. De forma predeterminada, estos son 80/443 TCP. Puede modificar estos puertos. Si tu origen rechaza el tráfico en estos puertos por cualquier motivo, o si tu servidor de backend no responde en los puertos, no CloudFront se podrá conectar.

Para solucionar estos problemas, revise los firewalls de su infraestructura y compruebe que no estén bloqueando los rangos de IP admitidos. Para obtener más información, consulte Rangos de direcciones IP de AWS en la Referencia general de Amazon Web Services. Compruebe también si su servidor web se ejecuta en el origen.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Código de estado HTTP 400 (Solicitud errónea)

Código de estado HTTP 502 (Error de validación de Lambda)