Configurar nomes de domínio alternativos e HTTP - Amazon CloudFront
Obter um certificado SSL/TLSImportar um certificado SSL/TLSAtualizando sua CloudFront distribuição

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configurar nomes de domínio alternativos e HTTP

Para usar nomes de domínio alternativos nos URLs de seus arquivos e usar HTTPS entre visualizadores e CloudFront, execute os procedimentos aplicáveis.

Obter um certificado SSL/TLS

Obtenha um certificado SSL/TLS, se você ainda não tiver um. Para obter mais informações, consulte a documentação aplicável:

  • Para usar um certificado fornecido pelo AWS Certificate Manager (ACM), consulte o Guia do usuário do AWS Certificate Manager. Em seguida, vá para Atualizando sua CloudFront distribuição.

    nota

    É recomendável que você use o ACM para provisionar, gerenciar e implantar os certificados SSL/TLS nos recursos gerenciados da AWS. Você deve solicitar um certificado ACM na região Leste dos EUA (Norte da Virgínia).

  • Para obter um certificado de uma autoridade de certificação (CA) terceirizada, consulte a documentação fornecida por ela. Se você tiver o certificado, continue no próximo procedimento.

Importar um certificado SSL/TLS

Se você obteve seu certificado de uma CA de terceiros, importe-o para o ACM ou faça upload dele no armazenamento de certificados do IAM:

ACM (recomendado)

O ACM permite importar certificados de terceiros pelo console do ACM, bem como de forma programática. Para obter informações sobre como importar um certificado para o ACM, consulte Importação de certificados no AWS Certificate Manager no Guia do usuário do AWS Certificate Manager. Você deve importar o certificado na região Leste dos EUA (Norte da Virgínia).

Armazenamento de certificados do IAM

(Não recomendado) Use o comando da AWS CLI a seguir para carregar o certificado de terceiros no armazenamento de certificados do IAM.

aws iam upload-server-certificate \
        --server-certificate-name CertificateName \
        --certificate-body file://public_key_certificate_file \
        --private-key file://privatekey.pem \
        --certificate-chain file://certificate_chain_file \
        --path /cloudfront/path/

Observe o seguinte:

  • AWSconta — Você deve fazer o upload do certificado para o repositório de certificados do IAM usando a mesma AWS conta que você usou para criar sua CloudFront distribuição.

  • Parâmetro --path: ao fazer upload do certificado no IAM, o valor do parâmetro --path (caminho do certificado) deve começar com /cloudfront/, por exemplo, /cloudfront/production/ ou /cloudfront/test/. O caminho deve terminar com "/".

  • Certificados existentes: é necessário especificar valores para os parâmetros --server-certificate-name e --path diferentes dos valores associados aos certificados existentes.

  • Usando o CloudFront console — O valor que você especifica para o --server-certificate-name parâmetro noAWS CLI, por exemplomyServerCertificate, aparece na lista de certificados SSL no CloudFront console.

  • Usando a CloudFront API — Anote a sequência alfanumérica que ele AWS CLI retorna, por exemplo,AS1A2M3P4L5E67SIIXR3J. Esse é o valor especificado no elemento IAMCertificateId. O ARN do IAM, que também é retornado pela CLI, não é necessário.

Para obter mais informações sobre a AWS CLI, consulte o Guia do usuário da AWS Command Line Interface e a Referência de comandos da AWS CLI.

Atualizando sua CloudFront distribuição

Para atualizar as configurações da sua distribuição, execute o seguinte procedimento:

Para configurar sua CloudFront distribuição para nomes de domínio alternativos

  1. Faça login no AWS Management Console e abra o CloudFront console emhttps://console.aws.amazon.com/cloudfront/v4/home.

  2. Escolha o ID da distribuição que você deseja atualizar.

  3. Na guia General, escolha Edit.

  4. Atualize os seguintes valores:

    Alternate Domain Names (CNAMEs)

    Adicione os nomes de domínio alternativos aplicáveis. Separe os nomes de domínio com vírgulas ou digite cada nome de domínio em uma nova linha.

    Certificado SSL

    Escolha Custom SSL Certificate e escolha um certificado da lista.

    Até 100 certificados estão listados aqui. Se você tiver mais de 100 certificados e não estiver visualizando o certificado que quer adicionar, digite um ARN de certificado no campo para escolhê-lo.

    Se você fez o upload de um certificado para o armazenamento de certificados do IAM, mas ele não está listado e você não puder escolhê-lo digitando o nome no campo, revise o procedimento Importar um certificado SSL/TLS para verificar se você carregou corretamente o certificado.

    Importante

    Depois de associar seu certificado SSL/TLS à sua CloudFront distribuição, não exclua o certificado do ACM ou do armazenamento de certificados do IAM até que você remova o certificado de todas as distribuições e até que o status das distribuições seja alterado para Implantado.

    Clients Supported

    Escolha a opção aplicável:

    • Todos os clientes: CloudFront veicula seu conteúdo HTTPS usando endereços IP dedicados. Se você selecionar essa opção, será cobrado encargos adicionais ao associar seu certificado SSL/TLS a uma distribuição ativada. Para obter mais informações, consulte Amazon CloudFront Pricing.

    • Only clients that Support Server Name Indication (SNI) (Somente clientes que oferecem suporte à indicação de nome de servidor (SNI)): navegadores antigos ou outros clientes não compatíveis com SNI devem usar outro método para acessar seu conteúdo.

    Para obter mais informações, consulte Escolhendo como CloudFront atende às solicitações HTTPS.

  5. Escolha Yes, Edit.

  6. Configure CloudFront para exigir HTTPS entre visualizadores e CloudFront:

    1. Na guia Behaviors, escolha o comportamento de cache que você deseja atualizar e, em seguida, escolha Edit.

    2. Especifique um dos seguintes valores para Viewer Protocol Policy:

      Redirect HTTP to HTTPS

      Os visualizadores podem usar os dois protocolos, mas solicitações HTTP são automaticamente redirecionadas para HTTPS. O CloudFront retorna o código de status HTTP 301 (Moved Permanently) com o novo URL HTTPS. Em seguida, o visualizador reenvia a solicitação CloudFront usando o URL HTTPS.

      Importante

      CloudFront não redirecionaDELETE,,OPTIONS, PATCHPOST, ou PUT solicita de HTTP para HTTPS. Se você configurar um comportamento de cache para redirecionar para HTTPS, CloudFront responderá a HTTPDELETE,, OPTIONS PATCHPOST, ou PUT solicitações desse comportamento de cache com o código de status HTTP. 403 (Forbidden)

      Quando um visualizador faz uma solicitação HTTP que é redirecionada para uma solicitação HTTPS, CloudFront as duas solicitações são cobradas. Para a solicitação HTTP, a cobrança é apenas pela solicitação e cabeçalhos retornados pelo CloudFront para o visualizador. Para a solicitação HTTPS, a cobrança é pela solicitação e pelos cabeçalhos e arquivo retornados por sua origem.

      HTTPS Only

      Os visualizadores só podem acessar seu conteúdo se estiverem usando HTTPS. Se um visualizador enviar uma solicitação HTTP em vez de uma solicitação HTTPS, CloudFront retornará o código de status HTTP 403 (Forbidden) e não retornará o arquivo.

    3. Escolha Yes, Edit.

    4. Repita as etapas "a" a "c" para cada comportamento de cache adicional para o qual você deseja exigir HTTPS entre os visualizadores e o CloudFront.

  7. Antes de usar a configuração atualizada em um ambiente de produção, confirme:

    • Se o padrão de caminho de cada comportamento de cache se aplica apenas às solicitações nas quais os visualizadores devem usar HTTPS.

    • Se os comportamentos de cache estão indicados na ordem em que você deseja que o CloudFront os avalie. Para ter mais informações, consulte Padrão de caminho.

    • Se os comportamentos de cache estão roteando as solicitações para as origens corretas.