Konfigurasikan nama domain alternatif dan HTTPS - Amazon CloudFront
Dapatkan sertifikat SSL/TLSImpor sertifikat SSL/TLSPerbarui CloudFront distribusi Anda

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Konfigurasikan nama domain alternatif dan HTTPS

Untuk menggunakan nama domain alternatif di URL untuk file Anda dan menggunakan HTTPS antar pemirsa dan CloudFront, lakukan prosedur yang berlaku.

Dapatkan sertifikat SSL/TLS

Dapatkan sertifikat SSL/TLS jika Anda belum memilikinya. Untuk informasi lebih lanjut, lihat dokumentasi yang berlaku:

  • Untuk menggunakan sertifikat yang disediakan oleh AWS Certificate Manager (ACM), lihat Panduan AWS Certificate Manager Pengguna. Lalu, langsung ke Perbarui CloudFront distribusi Anda.

    catatan

    Kami menyarankan agar Anda menggunakan ACM untuk menyediakan, mengelola, dan menerapkan sertifikat SSL/TLS di sumber daya terkelola AWS . Anda harus meminta sertifikat ACM di Wilayah Timur AS (N. Virginia).

  • Untuk mendapatkan sertifikat dari otoritas sertifikat pihak ketiga (CA), lihat dokumentasi yang diberikan oleh otoritas sertifikat. Jika Anda memiliki sertifikat, lanjutkan dengan prosedur berikutnya.

Impor sertifikat SSL/TLS

Jika Anda mendapatkan sertifikat Anda dari CA pihak ketiga, impor sertifikat ke ACM atau unggah ke toko sertifikat IAM:

ACM (disarankan)

ACM memungkinkan Anda mengimpor sertifikat pihak ketiga dari konsol ACM, dan juga secara terprogram. Untuk informasi tentang mengimpor sertifikat ke ACM, lihat Mengimpor Sertifikat ke dalam AWS Certificate Manager dalam Panduan Pengguna AWS Certificate Manager . Anda harus mengimpor sertifikat di Wilayah Timur AS (N. Virginia).

Toko sertifikat IAM

(Tidak disarankan) Gunakan AWS CLI perintah berikut untuk mengunggah sertifikat pihak ketiga Anda ke toko sertifikat IAM.

aws iam upload-server-certificate \
        --server-certificate-name CertificateName \
        --certificate-body file://public_key_certificate_file \
        --private-key file://privatekey.pem \
        --certificate-chain file://certificate_chain_file \
        --path /cloudfront/path/

Perhatikan hal berikut:

  • AWS akun — Anda harus mengunggah sertifikat ke toko sertifikat IAM menggunakan AWS akun yang sama dengan yang Anda gunakan untuk membuat CloudFront distribusi Anda.

  • --parameter batas – Ketika Anda mengunggah sertifikat ke IAM, nilai --path parameter (jalur sertifikat) harus dimulai dengan /cloudfront/, misalnya, /cloudfront/production/ atau /cloudfront/test/. Jalan harus diakhiri dengan /.

  • Sertifikat yang ada – Anda harus menentukan nilai untuk --server-certificate-name dan --path parameter yang berbeda dari nilai yang terkait dengan sertifikat yang ada.

  • Menggunakan CloudFront konsol — Nilai yang Anda tentukan untuk --server-certificate-name parameter di AWS CLI, misalnyamyServerCertificate, muncul di daftar Sertifikat SSL di CloudFront konsol.

  • Menggunakan CloudFront API — Catat string alfanumerik yang AWS CLI dikembalikan, misalnya,. AS1A2M3P4L5E67SIIXR3J Ini adalah nilai yang akan Anda tentukan di elemen IAMCertificateId. Anda tidak perlu IAM ARN, yang juga dikembalikan oleh CLI.

Untuk informasi selengkapnya tentang AWS CLI, lihat Panduan AWS Command Line Interface Pengguna dan Referensi AWS CLI Perintah.

Perbarui CloudFront distribusi Anda

Untuk memperbarui pengaturan distribusi Anda, lakukan prosedur berikut:

Untuk mengonfigurasi CloudFront distribusi Anda untuk nama domain alternatif

  1. Masuk ke AWS Management Console dan buka CloudFront konsol dihttps://console.aws.amazon.com/cloudfront/v4/home.

  2. Pilih ID untuk distribusi yang ingin Anda perbarui.

  3. Di Umum pilih, pilih Edit.

  4. Perbarui nilai berikut:

    Nama domain alternatif (CNAME)

    Pilih Tambahkan item untuk menambahkan nama domain alternatif yang berlaku. Pisahkan nama domain dengan koma, atau ketikkan setiap nama domain pada baris baru.

    Sertifikat SSL khusus

    Pilih sertifikat dari daftar dropdown.

    Hingga 100 sertifikat tercantum di sini. Jika Anda memiliki lebih dari 100 sertifikat dan tidak melihat sertifikat yang ingin Anda tambahkan, Anda dapat mengetikkan sertifikat ARN di bidang untuk memilihnya.

    Jika Anda mengunggah sertifikat ke penyimpanan sertifikat IAM tetapi tidak tercantum, dan Anda tidak dapat memilihnya dengan mengetikkan nama di bidang, periksa prosedurnya Impor sertifikat SSL/TLS untuk mengonfirmasi bahwa Anda telah mengunggah sertifikat dengan benar.

    penting

    Setelah Anda mengaitkan sertifikat SSL/TLS Anda dengan CloudFront distribusi Anda, jangan hapus sertifikat dari ACM atau penyimpanan sertifikat IAM sampai Anda menghapus sertifikat dari semua distribusi dan semua distribusi dikerahkan.

  5. Pilih Simpan perubahan.

  6. Konfigurasikan CloudFront untuk mewajibkan HTTPS antara pemirsa dan CloudFront:

    1. Di Perilaku pilih perilaku cache yang ingin Anda perbarui, lalu pilih Edit.

    2. Tentukan salah satu nilai untuk Kebijakan Protokol Penampil:

      Arahkan ulang HTTP ke HTTPS

      Pemirsa dapat menggunakan kedua protokol, tetapi permintaan HTTP secara otomatis dialihkan ke permintaan HTTPS. CloudFrontmengembalikan kode status HTTP 301 (Moved Permanently) bersama dengan URL HTTPS baru. Penampil kemudian mengirimkan kembali permintaan untuk CloudFront menggunakan URL HTTPS.

      penting

      CloudFront tidak mengalihkanDELETE,,, OPTIONS PATCHPOST, atau PUT permintaan dari HTTP ke HTTPS. Jika Anda mengonfigurasi perilaku cache untuk mengarahkan ulang ke HTTPS, CloudFront merespons HTTPDELETE,,,OPTIONS, PATCHPOST, atau PUT permintaan untuk perilaku cache tersebut dengan kode status HTTP. 403 (Forbidden)

      Saat penampil membuat permintaan HTTP yang dialihkan ke permintaan HTTPS, CloudFront dikenakan biaya untuk kedua permintaan tersebut. Untuk permintaan HTTP, biaya hanya untuk permintaan dan untuk header yang CloudFront kembali ke penampil. Untuk permintaan HTTPS, biayanya adalah untuk permintaan, dan untuk header dan file yang dikembalikan oleh asal Anda.

      HTTPS Saja

      Penampil dapat mengakses konten Anda hanya jika mereka menggunakan HTTPS. Jika penampil mengirim permintaan HTTP bukan permintaan HTTPS, CloudFront mengembalikan kode status HTTP 403 (Forbidden) dan tidak mengembalikan file.

    3. Pilih Ya, Edit.

    4. Ulangi langkah a hingga c untuk setiap perilaku cache tambahan yang ingin Anda perlukan HTTPS antara pemirsa danCloudFront.

  7. Konfirmasikan hal berikut sebelum menggunakan konfigurasi yang diperbarui dalam lingkungan produksi:

    • Pola jalur dalam setiap perilaku cache hanya berlaku untuk permintaan yang ingin digunakan penampil dengan HTTPS.

    • Perilaku cache tercantum dalam urutan yang CloudFront ingin Anda evaluasi. Untuk informasi selengkapnya, lihat Pola jalur.

    • Perilaku singgahan sedang mengarahkan permintaan ke asal-usul yang benar.