Persyaratan untuk menggunakan SSL/TLS sertifikat dengan CloudFront - Amazon CloudFront
Penerbit sertifikatWilayah AWS untuk AWS Certificate ManagerFormat SertifikatSertifikat MenengahTipe KunciKunci privatIzinUkuran kunci sertifikatJenis sertifikat yang didukungTanggal kedaluwarsa sertifikat dan perpanjanganNama domain dalam CloudFront distribusi dan sertifikatVersi SSL/TLS protokol minimumVersi HTTP yang didukung

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Persyaratan untuk menggunakan SSL/TLS sertifikat dengan CloudFront

Persyaratan untuk SSL/TLS sertifikat dijelaskan dalam topik ini. Mereka berlaku untuk kedua hal berikut, kecuali sebagaimana disebutkan:

  • Sertifikat untuk menggunakan HTTPS antara pemirsa dan CloudFront

  • Sertifikat untuk menggunakan HTTPS antara CloudFront dan asal Anda

Penerbit sertifikat

Kami menyarankan Anda menggunakan sertifikat publik yang dikeluarkan oleh AWS Certificate Manager (ACM). Untuk informasi tentang mendapatkan sertifikat dari ACM, lihat Panduan AWS Certificate Manager Pengguna. Untuk menggunakan sertifikat ACM CloudFront, pastikan Anda meminta (atau mengimpor) sertifikat di Wilayah AS Timur (Virginia Utara) (us-east-1).

CloudFront mendukung otoritas sertifikat (CAs) yang sama dengan Mozilla, jadi jika Anda tidak menggunakan ACM, gunakan sertifikat yang dikeluarkan oleh CA pada Daftar Sertifikat CA Termasuk Mozilla. Untuk informasi lebih lanjut tentang mendapatkan dan menginstal sertifikat, lihat dokumentasi untuk perangkat lunak server HTTP Anda dan ke dokumentasi untuk CA.

Wilayah AWS untuk AWS Certificate Manager

Untuk menggunakan sertifikat di AWS Certificate Manager (ACM) untuk mewajibkan HTTPS antar pemirsa danCloudFront, pastikan Anda meminta (atau mengimpor) sertifikat di Wilayah AS Timur (Virginia Utara) (us-east-1).

Jika Anda ingin meminta HTTPS antara CloudFront dan asal Anda, dan Anda menggunakan penyeimbang beban di Elastic Load Balancing sebagai asal Anda, Anda dapat meminta atau mengimpor sertifikat di mana pun. Wilayah AWS

Format Sertifikat

Sertifikat harus dalam format X.509 PEM. Ini adalah format default jika Anda menggunakan AWS Certificate Manager.

Sertifikat Menengah

Jika Anda menggunakan otoritas sertifikat pihak ketiga (CA), cantumkan semua sertifikat perantara dalam rantai sertifikat yang ada di .pem file, dimulai dengan sertifikat untuk CA yang menandatangani sertifikat untuk domain Anda. Biasanya, Anda akan menemukan file di situs web CA yang mencantumkan sertifikat perantara dan root dalam urutan rantai yang tepat.

penting

Jangan sertakan yang berikut ini: sertifikat root, sertifikat perantara yang tidak berada di jalur kepercayaan, atau sertifikat kunci publik CA Anda.

Berikut ini contohnya:

-----BEGIN CERTIFICATE-----
Intermediate certificate 2
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Intermediate certificate 1
-----END CERTIFICATE-----

Tipe Kunci

CloudFront mendukung pasangan kunci publik-pribadi RSA dan ECDSA.

CloudFront mendukung koneksi HTTPS ke pemirsa dan asal menggunakan sertifikat RSA dan ECDSA. Dengan AWS Certificate Manager (ACM), Anda dapat meminta dan mengimpor sertifikat RSA atau ECDSA dan kemudian mengaitkannya dengan distribusi Anda. CloudFront

Untuk daftar sandi RSA dan ECDSA yang didukung oleh CloudFront yang dapat Anda negosiasikan dalam koneksi HTTPS, lihat dan. Protokol dan cipher yang didukung antara pemirsa dan CloudFront Protokol dan cipher yang didukung antara dan asal CloudFront

Kunci privat

Jika Anda menggunakan sertifikat dari otoritas sertifikat pihak ketiga (CA), catat hal-hal berikut:

  • Kunci pribadi harus cocok dengan kunci publik yang ada dalam sertifikat.

  • Kunci pribadi harus dalam format PEM.

  • Kunci pribadi tidak dapat dienkripsi dengan kata sandi.

Jika AWS Certificate Manager (ACM) memberikan sertifikat, ACM tidak melepaskan kunci pribadi. Kunci pribadi disimpan dalam ACM untuk digunakan oleh AWS layanan yang terintegrasi dengan ACM.

Izin

Anda harus memiliki izin untuk menggunakan dan mengimpor SSL/TLS sertifikat. Jika Anda menggunakan AWS Certificate Manager (ACM), sebaiknya gunakan AWS Identity and Access Management izin untuk membatasi akses ke sertifikat. Untuk informasi selengkapnya, lihat Identitas dan manajemen akses di Panduan AWS Certificate Manager Pengguna.

Ukuran kunci sertifikat

Ukuran kunci sertifikat yang CloudFront mendukung tergantung pada jenis kunci dan sertifikat.

Untuk sertifikat RSA:

CloudFront mendukung kunci RSA 1024-bit, 2048-bit, dan 3072-bit, dan 4096-bit. Panjang kunci maksimum untuk sertifikat RSA yang Anda gunakan CloudFront adalah 4096 bit.

Perhatikan bahwa ACM mengeluarkan sertifikat RSA dengan kunci hingga 2048-bit. Untuk menggunakan sertifikat RSA 3072-bit atau 4096-bit, Anda perlu mendapatkan sertifikat secara eksternal dan mengimpornya ke ACM, setelah itu akan tersedia untuk Anda gunakan. CloudFront

Untuk informasi tentang cara menentukan ukuran kunci RSA, lihatTentukan ukuran kunci publik dalam sertifikat SSL/TLS RSA.

Untuk sertifikat ECDSA:

CloudFront mendukung kunci 256-bit. Untuk menggunakan sertifikat ECDSA di ACM untuk mewajibkan HTTPS antar pemirsa dan CloudFront, gunakan kurva elips prime256v1.

Jenis sertifikat yang didukung

CloudFront mendukung semua jenis sertifikat yang dikeluarkan oleh otoritas sertifikat tepercaya.

Tanggal kedaluwarsa sertifikat dan perpanjangan

Jika Anda menggunakan sertifikat yang Anda dapatkan dari otoritas sertifikat pihak ketiga (CA), Anda harus memantau tanggal kedaluwarsa sertifikat dan memperbarui sertifikat yang Anda impor ke AWS Certificate Manager (ACM) atau mengunggah ke toko AWS Identity and Access Management sertifikat sebelum kedaluwarsa.

penting

Untuk menghindari masalah kedaluwarsa sertifikat, perbarui atau impor ulang sertifikat Anda setidaknya 24 jam sebelum NotAfter nilai sertifikat Anda saat ini. Jika sertifikat Anda kedaluwarsa dalam waktu 24 jam, mintalah sertifikat baru dari ACM atau impor sertifikat baru ke ACM. Selanjutnya, kaitkan sertifikat baru ke CloudFront distribusi.

CloudFront mungkin terus menggunakan sertifikat sebelumnya saat perpanjangan atau impor ulang sertifikat Anda sedang berlangsung. Ini adalah proses asinkron yang dapat memakan waktu hingga 24 jam sebelum CloudFront menunjukkan perubahan Anda.

Jika Anda menggunakan sertifikat yang disediakan ACM, ACM mengelola perpanjangan sertifikat untuk Anda. Untuk informasi lebih lanjut, lihat Perpanjangan Terkelola dalam AWS Certificate Manager Panduan Pengguna.

Nama domain dalam CloudFront distribusi dan sertifikat

Saat Anda menggunakan custom origin, SSL/TLS sertifikat di asal Anda menyertakan nama domain di bidang Nama Umum, dan mungkin beberapa lainnya di bidang Nama Alternatif Subjek. (CloudFront mendukung karakter wildcard dalam nama domain sertifikat.)

Salah satu nama domain dalam sertifikat harus sesuai dengan nama domain yang Anda tentukan untuk Nama Domain Asal. Jika tidak ada nama domain yang cocok, CloudFront mengembalikan kode status HTTP 502 (Bad Gateway) ke penampil.

penting

Saat Anda menambahkan nama domain alternatif ke distribusi, CloudFront periksa apakah nama domain alternatif dicakup oleh sertifikat yang telah Anda lampirkan. Sertifikat harus mencakup nama domain alternatif di bidang nama alternatif subjek (SAN) pada sertifikat. Ini berarti bidang SAN harus berisi kecocokan persis untuk nama domain alternatif, atau berisi wildcard pada tingkat yang sama dengan nama domain alternatif yang Anda tambahkan.

Untuk informasi selengkapnya, lihat Persyaratan untuk menggunakan nama domain alternatif.

Versi SSL/TLS protokol minimum

Jika Anda menggunakan alamat IP khusus, tetapkan versi SSL/TLS protokol minimum untuk koneksi antara pemirsa dan CloudFront dengan memilih kebijakan keamanan.

Untuk informasi lebih lanjut, lihat Kebijakan keamanan (versi SSL/TLS minimum) dalam topik Semua referensi pengaturan distribusi.

Versi HTTP yang didukung

Jika Anda mengaitkan satu sertifikat dengan lebih dari satu CloudFront distribusi, semua distribusi yang terkait dengan sertifikat harus menggunakan opsi yang sama untukVersi HTTP yang didukung. Anda menentukan opsi ini saat membuat atau memperbarui CloudFront distribusi.