Choisissez le mode de CloudFront traitement des HTTPS demandes

Si vous souhaitez que vos lecteurs utilisent HTTPS et utilisent des noms de domaine alternatifs pour vos fichiers, choisissez l'une des options suivantes pour le traitement CloudFront des HTTPS demandes :

• Utiliser l'indication du nom du serveur (SNI) — Recommandé

• Utilisez une adresse IP dédiée dans chaque emplacement périphérique

Cette section explique le mode de fonctionnement de chaque option.

SNIÀ utiliser pour répondre aux HTTPS demandes (fonctionne pour la plupart des clients)

L'indication du nom du serveur (SNI) est une extension du TLS protocole prise en charge par les navigateurs et les clients publiés après 2010. Si vous configurez CloudFront pour répondre aux HTTPS demandes en utilisantSNI, CloudFront associez votre nom de domaine alternatif à une adresse IP pour chaque emplacement périphérique. Lorsqu'un utilisateur soumet une HTTPS demande pour votre contenu, il DNS achemine la demande vers l'adresse IP correspondant à l'emplacement périphérique approprié. L'adresse IP de votre nom de domaine est déterminée lors de la négociationSSL/TLShandshake ; l'adresse IP n'est pas dédiée à votre distribution.

La TLS négociationSSL/a lieu au début du processus d'établissement d'une HTTPS connexion. S'il n'est pas CloudFront possible de déterminer immédiatement à quel domaine la demande est destinée, la connexion est interrompue. Lorsqu'un internaute prenant en charge SNI soumet une HTTPS demande pour votre contenu, voici ce qui se passe :

1. L'utilisateur obtient automatiquement le nom de domaine de la demande URL et l'ajoute à l'SNIextension du message d'TLSaccueil du client.

2. Lorsqu'il CloudFront reçoit le bonjour du TLS client, il utilise le nom de domaine de l'SNIextension pour trouver la CloudFront distribution correspondante et renvoie le TLS certificat associé.

3. Le visualiseur et CloudFront SSL exécutent TLS la négociation.

4. CloudFront renvoie le contenu demandé au spectateur.

Pour une liste actualisée des navigateurs compatiblesSNI, consultez l'entrée Wikipedia intitulée « Indication du nom du serveur ».

Si vous souhaitez l'utiliser SNI mais que certains navigateurs de vos utilisateurs ne sont pas compatiblesSNI, plusieurs options s'offrent à vous :

• Configurez CloudFront pour répondre HTTPS aux demandes en utilisant des adresses IP dédiées au lieu deSNI. Pour de plus amples informations, veuillez consulter Utiliser une adresse IP dédiée pour répondre aux HTTPS demandes (fonctionne pour tous les clients).

• Utilisez le TLS certificat CloudFront SSL/au lieu d'un certificat personnalisé. Cela nécessite que vous utilisiez le nom de CloudFront domaine de votre distribution dans celui URLs de vos fichiers, par exemple,https://d111111abcdef8.cloudfront.net/logo.png.

  Si vous utilisez le CloudFront certificat par défaut, les utilisateurs doivent prendre en charge le SSL protocole TLSv1 ou une version ultérieure. CloudFront n'est pas compatible SSLv3 avec le CloudFront certificat par défaut.

  Vous devez également remplacer le TLS certificatSSL/ CloudFront utilisé par un certificat personnalisé par le CloudFront certificat par défaut :

  • Si vous n’avez pas utilisé votre distribution pour transmettre votre contenu, vous pouvez juste modifier la configuration. Pour de plus amples informations, veuillez consulter Mettre à jour une distribution.

  • Si vous avez utilisé votre distribution pour distribuer votre contenu, vous devez créer une nouvelle CloudFront distribution et modifier la URLs distribution de vos fichiers afin de réduire ou d'éliminer le temps pendant lequel votre contenu n'est pas disponible. Pour de plus amples informations, veuillez consulter Revenir d'un TLS certificatSSL/personnalisé au certificat par défaut CloudFront .

• Si vous pouvez contrôler le navigateur utilisé par vos utilisateurs, demandez-leur de passer à un navigateur compatibleSNI.

• Utiliser HTTP au lieu deHTTPS.

Utiliser une adresse IP dédiée pour répondre aux HTTPS demandes (fonctionne pour tous les clients)

L'indication du nom du serveur (SNI) est un moyen d'associer une demande à un domaine. Une autre méthode consiste à utiliser une adresse IP dédiée. Si certains de vos utilisateurs ne peuvent pas passer à un navigateur ou à un client publié après 2010, vous pouvez utiliser une adresse IP dédiée pour répondre aux HTTPS demandes. Pour une liste actualisée des navigateurs compatiblesSNI, consultez l'entrée Wikipedia intitulée « Indication du nom du serveur ».

Important

Si vous configurez CloudFront pour traiter les HTTPS demandes à l'aide d'adresses IP dédiées, vous devrez payer des frais mensuels supplémentaires. Les frais commencent lorsque vous associez votre TLS certificatSSL/à une distribution et que vous activez la distribution. Pour plus d'informations sur CloudFront les tarifs, consultez Amazon CloudFront Pricing. Consultez également Using the Same Certificate for Multiple CloudFront Distributions.

Lorsque vous configurez CloudFront pour répondre aux HTTPS demandes à l'aide d'adresses IP dédiées, CloudFront associez votre certificat à une adresse IP dédiée dans chaque emplacement CloudFront périphérique. Lorsqu'un internaute soumet une HTTPS demande pour votre contenu, voici ce qui se passe :

1. DNSachemine la demande vers l'adresse IP de votre distribution dans l'emplacement périphérique applicable.

2. Si une demande du client fournit l'SNIextension dans le ClientHello message, CloudFront recherche une distribution associée à cette extensionSNI.

   • S'il y a une correspondance, CloudFront répond à la demande avec le TLS certificat SSL /.

   • S'il n'y a pas de correspondance, CloudFront utilise plutôt l'adresse IP pour identifier votre distribution et pour déterminer le TLS certificatSSL/à renvoyer au lecteur.

3. Le visualiseur et le SSL/TLS negotiation using your SSL/TLS certificat d' CloudFront exécution.

4. CloudFront renvoie le contenu demandé au spectateur.

Cette méthode fonctionne pour chaque HTTPS demande, quel que soit le navigateur ou l'autre outil de visualisation utilisé par l'utilisateur.

Note

IPsLes objets dédiés ne sont pas statiques IPs et peuvent changer au fil du temps. L'adresse IP renvoyée pour l'emplacement périphérique est allouée dynamiquement à partir des plages d'adresses IP de la liste des serveurs CloudFront périphériques.

Les plages d'adresses IP pour les serveurs CloudFront Edge sont sujettes à modification. Pour être informé des modifications d'adresse IP, abonnez-vous à la section Changements d'adresse IP AWS publique via Amazon SNS.

Demander l'autorisation d'utiliser au moins trois IP ou SSL TLS certificats dédiés

Si vous avez besoin d'une autorisation pour associer de manière permanente au moins trois certificats IP SSL TLS /dédiés CloudFront, effectuez la procédure suivante. Pour plus de détails sur HTTPS les demandes, consultezChoisissez le mode de CloudFront traitement des HTTPS demandes.

Note

Cette procédure permet d'utiliser au moins trois certificats IP dédiés dans vos CloudFront distributions. La valeur par défaut est 2. N'oubliez pas que vous ne pouvez pas lier plusieurs SSL certificats à une distribution.

Vous ne pouvez associer qu'un seul TLS certificatSSL/à une CloudFront distribution à la fois. Ce nombre correspond au nombre total de SSL certificats IP dédiés que vous pouvez utiliser dans toutes vos CloudFront distributions.

Pour demander l'autorisation d'utiliser trois certificats ou plus avec une CloudFront distribution

1. Accédez au Centre de support et créez une demande.

2. Indiquez le nombre de certificats dont vous avez besoin et décrivez les circonstances de votre demande. Nous mettrons votre compte à jour dès que possible.

3. Poursuivez avec la procédure suivante.