が HTTPS リクエスト CloudFront を処理する方法の選択 - Amazon CloudFront

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

が HTTPS リクエスト CloudFront を処理する方法の選択

ビューワーに HTTPS を使用し、ファイルの代替ドメイン名を使用させる場合は、 が HTTPS リクエスト CloudFront を処理する方法に関する以下のオプションのいずれかを選択します。

このセクションでは各オプションの仕組みについて説明します。

SNI を使用した HTTPS リクエストの処理 (ほとんどのクライアントで動作)

Server Name Indication (SNI) は、2010 年以降にリリースされたブラウザとクライアントでサポートされている TLS プロトコルを拡張したものです。SNI を使用して HTTPS リクエストを処理する CloudFront ように を設定した場合、 は代替ドメイン名を各エッジロケーションの IP アドレスに CloudFront 関連付けます。ビューワーがコンテンツに対して HTTPS リクエストを送信すると、DNS は、正しいエッジロケーションの IP アドレスにリクエストをルーティングします。ドメイン名の IP アドレスが SSL/TLS ハンドシェイクネゴシエーション中に決定されます。IP アドレスはディストリビューション専用にはなりません。

SSL/TLS ネゴシエーションは、HTTPS 接続を確立する処理の早い段階で実行されます。 CloudFront がリクエスト対象のドメインをすぐに判断できない場合、接続は切断されます。SNI をサポートするビューワーがコンテンツに対して HTTPS リクエストを送信すると、次のようになります。

  1. ビューワーはリクエスト URL から自動的にドメイン名を取得し、リクエストヘッダーのフィールドに追加します。

  2. がリクエスト CloudFront を受信すると、リクエストヘッダーでドメイン名を検索し、該当する SSL/TLS 証明書でリクエストに応答します。

  3. ビューワーと が SSL/TLS ネゴシエーション CloudFront を実行します。

  4. CloudFront は、リクエストされたコンテンツをビューワーに返します。

現在 SNI をサポートするブラウザの一覧については、Wikipedia の Server Name Indication の項目を参照してください。

SNI を使用したくても、ユーザーのブラウザの一部が SNI をサポートしていない場合は、選択肢がいくつかあります。

  • SNI の代わりに専用 IP アドレスを使用して HTTPS リクエストを処理する CloudFront ように を設定します。詳細については、「専用 IP アドレスを使用した HTTPS リクエストの処理 (すべてのクライアントで動作)」を参照してください。

  • カスタム証明書の代わりに CloudFront SSL/TLS 証明書を使用します。そのためには、ディストリビューションの CloudFront ドメイン名をファイルの URLs で使用する必要があります。例えば、 ですhttps://d111111abcdef8.cloudfront.net/logo.png

    デフォルトの CloudFront 証明書を使用する場合、ビューワーは SSL プロトコル TLSv1 以降をサポートする必要があります。 CloudFront デフォルトCloudFront 証明書の SSLv3 はサポートされません。

    また、 CloudFront が使用している SSL/TLS 証明書をカスタム証明書からデフォルト CloudFront 証明書に変更する必要があります。

    • ディストリビューションを使用してコンテンツを配信したことがない場合は、単に構成を変更できます。詳細については、「ディストリビューションの更新」を参照してください。

    • ディストリビューションを使用してコンテンツを配信した場合は、新しいディス CloudFront トリビューションを作成し、ファイルの URLs を変更して、コンテンツが使用できない時間を短縮または削除する必要があります。詳細については、「カスタム SSL/TLS 証明書からデフォルト CloudFront 証明書に戻す」を参照してください。

  • ユーザーが使用するブラウザを管理できる場合は、SNI をサポートするブラウザにアップグレードしてもらいます。

  • HTTPS の代わりに HTTP を使用します。

専用 IP アドレスを使用した HTTPS リクエストの処理 (すべてのクライアントで動作)

Server Name Indication (SNI) は、リクエストをドメインと関連付ける 1 つの方法です。専用 IP アドレスを使用する方法もあります。2010 年以降にリリースされたブラウザまたはクライアントにアップグレードできないユーザーが存在する場合は、専用 IP アドレスを使用して HTTPS リクエストに対応できます。現在 SNI をサポートするブラウザの一覧については、Wikipedia の Server Name Indication の項目を参照してください。

重要

専用 IP アドレスを使用して HTTPS リクエストを処理する CloudFront ように を設定すると、追加の月額料金が発生します。課金は、ディストリビューションに SSL/TLS 証明書を関連付けて、ディストリビューションを有効にした時点から開始されます。 CloudFront 料金の詳細については、「Amazon 料金表 CloudFront 」を参照してください。また、Using the Same Certificate for Multiple CloudFront Distributions も参照してください。

専用 IP アドレスを使用して HTTPS リクエストを処理する CloudFront ように を設定すると、 は代替ドメイン名を各CloudFront エッジロケーションの専用 IP アドレスにCloudFront 関連付けます。ビューワーがコンテンツに HTTPS リクエストを送信すると、次のようになります。

  1. DNS は、該当するエッジロケーション内のディストリビューションの IP アドレスにリクエストをルーティングします。

  2. CloudFront は IP アドレスを使用してディストリビューションを識別し、ビューワーに返す SSL/TLS 証明書を決定します。

  3. ビューワーと は、SSL/TLS 証明書を使用して SSL/TLS ネゴシエーション CloudFront を実行します。

  4. CloudFront は、リクエストされたコンテンツをビューワーに返します。

この方法は、ユーザーが使用するブラウザやその他のビューワーを問わず、あらゆる HTTPS リクエストで機能します。

3 つ以上の SSL/TLS 専用 IP証明書を使用する許可をリクエストする

3 つ以上の SSL/TLS 専用 IP 証明書を に永続的に関連付けるアクセス許可が必要な場合は CloudFront、次の手順を実行します。HTTPS リクエストの詳細については、「が HTTPS リクエスト CloudFront を処理する方法の選択」を参照してください。

注記

この手順は、 CloudFront ディストリビューションで 3 つ以上の専用 IP 証明書を使用するためのものです。デフォルト値は 2 です。ディストリビューションには SSL 証明書を複数バインドできないのでご注意ください。

一度に 1 つの SSL/TLS 証明書のみを CloudFront ディストリビューションに関連付けることができます。この数は、すべての CloudFront ディストリビューションで使用できる専用 IP SSL 証明書の合計数です。

CloudFront ディストリビューションに 3 つ以上の証明書を使用するための許可をリクエストする
  1. サポートセンターにアクセスし、サポートケースを作成します。

  2. 使用するためのアクセス権限が必要な証明書の数と状況をリクエストに記載してください。できる限り早くアカウントを更新します。

  3. 次の手順に進みます。