Richiedi HTTPS per la comunicazione tra CloudFront e la tua origine personalizzata

Puoi richiedere HTTPS per la comunicazione tra CloudFront e la tua origine.

Nota

Se la tua origine è un bucket Amazon S3 configurato come endpoint del sito Web, non puoi configurare l'utilizzo di HTTPS con la tua origine perché Amazon S3 non supporta HTTPS CloudFront per gli endpoint dei siti Web.

Per richiedere HTTPS tra CloudFront e l'origine, segui le procedure in questo argomento per effettuare le seguenti operazioni:

1. Nella distribuzione, modifica l'impostazione Policy protocollo di origine per l’origine.

2. Installa un certificato SSL/TLS sul tuo server di origine (questo non è richiesto quando utilizzi un'origine Amazon S3 o determinate altre origini). AWS

Richiedi HTTPS per le origini personalizzate

La procedura seguente spiega come configurare l'uso di HTTPS CloudFront per comunicare con un sistema di bilanciamento del carico Elastic Load Balancing, un'istanza Amazon EC2 o un'altra origine personalizzata. Per informazioni sull'utilizzo dell' CloudFront API per aggiornare una distribuzione, UpdateDistributionconsulta Amazon CloudFront API Reference.

Per configurare CloudFront in modo che richieda HTTPS tra CloudFront e la tua origine personalizzata

1. Accedi a AWS Management Console e apri la CloudFront console all'indirizzohttps://console.aws.amazon.com/cloudfront/v4/home.

2. Nel riquadro superiore della CloudFront console, scegli l'ID della distribuzione che desideri aggiornare.

3. Nella scheda Comportamenti, seleziona l'origine che desideri aggiornare, quindi scegli Modifica.

4. Aggiorna le seguenti impostazioni:

   Origin Protocol Policy (Policy protocollo origine)

   Cambia la Origin Protocol Policy (Policy protocollo server di origine) per i server di origine applicabili alla distribuzione:

   • Solo HTTPS: CloudFront utilizza solo HTTPS per comunicare con l'origine personalizzata.

   • Match Viewer: CloudFront comunica con l'origine personalizzata tramite HTTP o HTTPS, a seconda del protocollo della richiesta del visualizzatore. Ad esempio, se scegli Match Viewer per Origin Protocol Policy e il visualizzatore utilizza HTTPS per richiedere un oggetto CloudFront, utilizza CloudFront anche HTTPS per inoltrare la richiesta all'origine.

     Seleziona Match Viewer (Abbina visualizzatore) solo se specifichi Redirect HTTP to HTTPS (Reindirizza HTTP a HTTPS) o HTTPS Only (solo HTTPS) per la Viewer Protocol Policy (Policy protocollo visualizzatore).

     CloudFront memorizza l'oggetto nella cache una sola volta anche se i visualizzatori effettuano richieste utilizzando entrambi i protocolli HTTP e HTTPS.

   Protocolli origine SSL

   Seleziona Origin SSL Protocols (Protocolli origine SSL) per i server di origine applicabili alla tua distribuzione. Il protocollo SSLv3 è meno sicuro, perciò ti consigliamo di scegliere SSLv3 solo se il server di origine non supporta TLSv1 o versioni successive. L'handshake TLSv1 è compatibile sia con le versioni precedenti che successive con SSLv3, ma TLSv1.1 e versioni successive non lo sono. Quando scegli SSLv3, invia solo richieste di handshake SSLv3. CloudFront

5. Seleziona Salvataggio delle modifiche.

6. Ripeti i passaggi da 3 a 5 per ogni origine aggiuntiva per cui desideri richiedere HTTPS tra e l'origine personalizzata. CloudFront

7. Conferma ciò che segue prima di utilizzare la configurazione aggiornata in un ambiente di produzione:

   • Il modello di percorso in ciascun comportamento cache si applica solo alle richieste per le quali desideri che i visualizzatori utilizzino una connessione HTTPS.

   • I comportamenti della cache sono elencati nell'ordine in cui CloudFront desideri valutarli. Per ulteriori informazioni, consulta Modello di percorso.

   • I comportamenti cache sono le richieste di routing ai server di origine per cui hai modificato la Origin Protocol Policy (Policy protocollo server di origine).

Installa un certificato SSL/TLS sulla tua origine personalizzata

Puoi utilizzare un certificato SSL/TLS dalle seguenti origini sul server di origine personalizzato:

• Se l'origine è un sistema di bilanciamento del carico (load balancer) Elastic Load Balancing, è possibile utilizzare un certificato fornito da AWS Certificate Manager (ACM). Puoi inoltre utilizzare un certificato firmato da un'autorità di certificazione (CA) di terze parti affidabile e importato in ACM.

• Per origini diverse dai sistemi di bilanciamento del carico Elastic Load Balancing, è necessario utilizzare un certificato firmato da un'autorità di certificazione (CA) di terze parti affidabile, ad esempio Comodo o Symantec. DigiCert

Il certificato restituito dall'origine deve includere uno dei seguenti nomi di dominio:

• Il nome di dominio nel campo Dominio di origine (il DomainName campo dell'API). CloudFront

• Il nome di dominio nell’intestazione Host, se il comportamento della cache è configurato per inoltrare l’intestazione Host all'origine.

Quando CloudFront utilizza HTTPS per comunicare con l'origine, CloudFront verifica che il certificato sia stato emesso da un'autorità di certificazione attendibile. CloudFront supporta le stesse autorità di certificazione di Mozilla. Per l'elenco corrente, consulta l'elenco dei certificati CA inclusi in Mozilla. Non è possibile utilizzare un certificato autofirmato per la comunicazione HTTPS tra CloudFront e l'origine.

Importante

Se il server di origine restituisce un certificato scaduto, un certificato non valido o un certificato autofirmato oppure se restituisce la catena di certificati nell'ordine sbagliato, CloudFront interrompe la connessione TCP, restituisce il codice di stato HTTP 502 (Bad Gateway) al visualizzatore e imposta l'intestazione su. X-Cache Error from cloudfront Inoltre, se l'intera catena di certificati, incluso il certificato intermedio, non è presente, la connessione TCP viene interrotta. CloudFront