Memerlukan HTTPS untuk komunikasi antara CloudFront dan asal kustom Anda - Amazon CloudFront
Mengubah CloudFront pengaturanMemasang sertifikat SSL/TLS di asal kustom Anda

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Memerlukan HTTPS untuk komunikasi antara CloudFront dan asal kustom Anda

Anda dapat meminta HTTPS untuk komunikasi antara CloudFront dan asal Anda.

catatan

Jika asal Anda adalah bucket Amazon S3 yang dikonfigurasi sebagai titik akhir situs web, Anda tidak dapat mengonfigurasi CloudFront untuk menggunakan HTTPS dengan asal Anda karena Amazon S3 tidak mendukung HTTPS untuk titik akhir situs web.

Untuk meminta HTTPS antara CloudFront dan asal Anda, ikuti prosedur dalam topik ini untuk melakukan hal berikut:

  1. Pada distribusi Anda, ubah pengaturan Kebijakan Protokol Asal untuk asal itu.

  2. Instal sertifikat SSL/TLS di server asal Anda (ini tidak diperlukan ketika Anda menggunakan asal Amazon S3 atau origin AWS tertentu lainnya).

Mengubah CloudFront pengaturan

Prosedur berikut menjelaskan cara mengonfigurasi penggunaan HTTPS CloudFront untuk berkomunikasi dengan penyeimbang beban Elastic Load Balancing, instans Amazon EC2, atau custom origin lainnya. Untuk informasi tentang menggunakan CloudFront API untuk memperbarui distribusi, lihat UpdateDistributiondi Referensi CloudFront API Amazon.

Untuk mengonfigurasi CloudFront agar memerlukan HTTPS antara CloudFront dan asal kustom Anda

  1. Masuk ke AWS Management Console dan buka CloudFront konsol dihttps://console.aws.amazon.com/cloudfront/v4/home.

  2. Di panel atas CloudFront konsol, pilih ID untuk distribusi yang ingin Anda perbarui.

  3. Di tab Asal, pilih asal yang ingin Anda perbarui, lalu pilih Edit.

  4. Perbarui pengaturan berikut:

    Kebijakan Protokol Asal

    Ubah Kebijakan Protokol Asal untuk asal yang berlaku dalam distribusi Anda:

    • Hanya HTTPS — hanya CloudFront menggunakan HTTPS untuk berkomunikasi dengan custom origin Anda.

    • Match Viewer — CloudFront berkomunikasi dengan custom origin Anda menggunakan HTTP atau HTTPS, tergantung pada protokol permintaan viewer. Misalnya, jika Anda memilih Penampil Pencocokan untuk Kebijakan Protokol Asal dan penampil menggunakan HTTPS untuk meminta objek CloudFront, CloudFront juga menggunakan HTTPS untuk meneruskan permintaan ke asal Anda.

      Pilih Penampil Kecocokan hanya jika Anda menentukan Arahkan ulang HTTP ke HTTPS atau HTTPS Saja untuk Kebijakan Protokol Penampil.

      CloudFront cache objek hanya sekali meskipun pemirsa membuat permintaan menggunakan protokol HTTP dan HTTPS.

    Protokol SSL Asal

    Pilih Protokol SSL Asal untuk asal yang berlaku dalam distribusi Anda. Protokol SSLv3 kurang aman, jadi kami menyarankan Anda untuk memilih SSLv3 hanya jika asal Anda tidak TLSv1 mendukung atau lebih baru. TLSv1 handshake kompatibel maju dan mundur dengan SSLv3, tetapi TLSv1.1 dan TLSv1.2 tidak kompatibel. Saat Anda memilih SSLv3, CloudFront hanya mengirimkan permintaan jabat tangan SSLv3.

  5. Pilih Ya, Edit.

  6. Ulangi langkah 3 hingga 5 untuk setiap asal tambahan yang ingin Anda perlukan HTTPS untuk antara CloudFront dan asal kustom Anda.

  7. Konfirmasikan hal berikut sebelum menggunakan konfigurasi yang diperbarui dalam lingkungan produksi:

    • Pola jalur dalam setiap perilaku cache hanya berlaku untuk permintaan yang ingin digunakan penampil dengan HTTPS.

    • Perilaku cache tercantum dalam urutan yang CloudFront ingin Anda evaluasi. Untuk informasi selengkapnya, lihat Pola jalur.

    • Perilaku singgahan sedang mengarahkan permintaan ke asal-usul perubahan Kebijakan Protokol Asal untuk.

Memasang sertifikat SSL/TLS di asal kustom Anda

Anda dapat menggunakan sertifikat SSL/TLS dari sumber berikut pada sumber yang Anda asalkan:

  • Jika asal Anda adalah penyeimbang beban Elastic Load Balancing, Anda bisa menggunakan sertifikat yang disediakan oleh AWS Certificate Manager (ACM). Anda juga dapat menggunakan sertifikat yang ditandatangani oleh otoritas sertifikat pihak ketiga tepercaya dan diimpor ke ACM.

  • Untuk asal selain penyeimbang beban Elastic Load Balancing, Anda harus menggunakan sertifikat yang ditandatangani oleh otoritas sertifikat pihak ketiga tepercaya (CA), misalnya, Comodo, atau Symantec. DigiCert

Sertifikat yang dikembalikan dari asal harus menyertakan salah satu nama domain berikut:

  • Nama domain di bidang domain Origin asal (DomainNamebidang di CloudFront API).

  • Nama domain di Host header, jika perilaku cache dikonfigurasi untuk meneruskan Host header ke asal.

Saat CloudFront menggunakan HTTPS untuk berkomunikasi dengan asal Anda, CloudFront verifikasi bahwa sertifikat dikeluarkan oleh otoritas sertifikat tepercaya. CloudFront mendukung otoritas sertifikat yang sama seperti yang dilakukan Mozilla. Untuk daftar saat ini, lihat Daftar Sertifikat CA yang Disertakan Mozilla. Anda tidak dapat menggunakan sertifikat yang ditandatangani sendiri untuk komunikasi HTTPS antara CloudFront dan asal Anda.

penting

Jika server asal mengembalikan sertifikat kedaluwarsa, sertifikat yang tidak valid, atau sertifikat yang ditandatangani sendiri, atau jika server asal mengembalikan rantai sertifikat dalam urutan yang salah, lepaskan koneksi TCP, CloudFront mengembalikan kode status HTTP 502 (Bad Gateway) ke penampil, dan menyetel header ke. X-Cache Error from cloudfront Juga, jika rantai lengkap sertifikat, termasuk sertifikat perantara, tidak ada, lepaskan CloudFront koneksi TCP.