Requisitos para usar certificados SSL/TLS com o CloudFront - Amazon CloudFront

Requisitos para usar certificados SSL/TLS com o CloudFront

Os requisitos para certificados SSL/TLS estão descritos neste tópico. Eles se aplicam a ambas as opções a seguir, exceto conforme observado:

  • Certificados para o uso de HTTPS entre visualizadores e o CloudFront

  • Certificados para o uso de HTTPS entre o CloudFront e sua origem

Emissor do certificado

Recomendamos usar um certificado emitido pelo AWS Certificate Manager (ACM). Para obter informações sobre como obter um certificado do ACM, consulte o Manual do usuário do AWS Certificate Manager. Para usar um certificado do ACM com o CloudFront, certifique-se de solicitar (ou importar) o certificado na região Leste dos EUA (Norte da Virgínia) (us-east-1).

O CloudFront é compatível com as mesmas autoridades de certificação (CAs) da Mozilla. Portanto, se você não usa o ACM, use um certificado emitido por uma CA na Lista de certificados CA incluídos no Mozilla. Para obter mais informações sobre como obter e instalar um certificado, consulte a documentação do software do servidor HTTP e a documentação da CA.

Região da AWS para AWS Certificate Manager

Para usar um certificado no AWS Certificate Manager (ACM) para exigir HTTPS entre visualizadores e o CloudFront, certifique-se de solicitar (ou importar) o certificado na região Leste dos EUA (Norte da Virgínia) (us-east-1).

Para exigir HTTPS entre o CloudFront e a origem se estiver usando um balanceador de carga no Elastic Load Balancing como origem, você poderá solicitar ou importar um certificado de qualquer Região da AWS.

Formato do certificado

O certificado deve estar no formato X.509 PEM. Esse será o formato padrão se você estiver usando o AWS Certificate Manager.

Certificados intermediários

Se você estiver usando uma autoridade de certificação (CA) de terceiros, indique todos os certificados intermediários na cadeia de certificados existente no arquivo .pem, começando com um para a CA que assinou o certificado do seu domínio. Normalmente, é possível encontrar um arquivo no site da sua CA com os certificados raiz e intermediários na ordem adequada da cadeia.

Importante

Não inclua o seguinte: o certificado raiz, certificados intermediários não presentes no caminho de relação de confiança nem o certificado de chave pública da sua CA.

Veja um exemplo abaixo:

-----BEGIN CERTIFICATE----- Intermediate certificate 2 -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- Intermediate certificate 1 -----END CERTIFICATE-----

Tipo de chave

O CloudFront é compatível com pares de chaves RSA e ECDSA públicas/privadas.

O CloudFront oferece suporte a conexões HTTPS para visualizadores e origens usando certificados RSA e ECDSA. Com o AWS Certificate Manager (ACM), você pode solicitar e importar certificados RSA e importar certificados ECDSA e, em seguida, associá-los à sua distribuição do CloudFront.

Para listas de cifras RSA e ECDSA compatíveis com o CloudFront que você pode negociar em conexões HTTPS, consulte Protocolos e cifras compatíveis entre visualizadores e o CloudFront e Protocolos e criptografias compatíveis entre o CloudFront e a origem.

Chave privada

Se você estiver usando um certificado de uma autoridade de certificação (CA) terceirizada, observe:

  • A chave privada deve ser correspondente à chave pública que está no certificado.

  • A chave privada deve estar no formato PEM.

  • A chave privada não pode ser criptografada com senha.

Se o AWS Certificate Manager (ACM) forneceu o certificado, ele não libera a chave privada. A chave privada é armazenada no ACM para uso pelos serviços da AWS integrados a ele.

Permissions

É necessário ter permissão para usar e importar o certificado SSL/TLS. Se você usa o AWS Certificate Manager (ACM), recomendamos usar as permissões do AWS Identity and Access Management para restringir o acesso aos certificados. Para obter mais informações, consulte Gerenciamento de identidade e acesso no Manual do usuário do AWS Certificate Manager.

Tamanho da chave do certificado

O tamanho de chave de certificado aceito pelo CloudFront depende dos tipos da chave e do certificado.

Para certificados RSA:

O CloudFront é compatível com chaves RSA de 1024 bits e 2048 bits. Recomendamos usar chaves de 2048 bits. O tamanho máximo para um certificado usado com o CloudFront é de 2048 bits, embora o ACM seja compatível com chaves maiores.

Para obter informações sobre como determinar o tamanho da chave RSA, consulte Como determinar o tamanho da chave pública em um certificado RSA SSL/TLS.

Para certificados ECDSA:

O CloudFront é compatível com chaves de 256 bits. Para usar um certificado ECDSA no ACM para exigir HTTPS entre visualizadores e o CloudFront, use a curva elíptica prime256v1.

Tipos de certificados compatíveis

O CloudFront é compatível com todos os tipos de certificados, incluindo os a seguir:

  • Certificados validados pelo domínio

  • Certificados de validação estendida (EV)

  • Certificados de alta garantia

  • Certificados curinga (*.example.com)

  • Certificados do nome alternativo do assunto (SAN) (example.com e example.net)

Data de expiração e renovação do certificado

Se estiver usando certificados obtidos de uma autoridade de certificação (CA) de terceiros, você será responsável por monitorar as datas de expiração e renovar os certificados importados para o AWS Certificate Manager (ACM) ou fazer upload para o armazenamento de certificados do AWS Identity and Access Management antes que eles expirem.

Se você estiver usando certificados fornecidos pelo ACM, ele gerenciará as renovações. Para obter mais informações, consulte Renovação gerenciada no Manual do usuário do AWS Certificate Manager.

Nomes de domínio na distribuição do CloudFront e no certificado

Quando você usa uma origem personalizada, o certificado SSL/TLS na sua origem incluirá um nome de domínio no campo Common Name (Nome comum) e, possivelmente, vários outros no campo Subject Alternative Names (Nomes alternativos do sujeito). (O CloudFront oferece suporte a caracteres curinga em nomes de domínio de certificados.)

Um dos nomes de domínio do certificado deve ser correspondente ao nome de domínio especificado em "Origin Domain Name". Se nenhum nome de domínio corresponder, o CloudFront retornará um código de status HTTP 502 (Bad Gateway) para o visualizador.

Importante

Ao adicionar um nome de domínio alternativo a uma distribuição, o CloudFront verifica se o nome de domínio alternativo está coberto pelo certificado que foi anexado. O certificado deve abranger o nome de domínio alternativo no campo de nome alternativo de assunto (SAN) do certificado. Isso significa que o campo SAN deve conter uma correspondência exata para o nome de domínio alternativo ou conter um curinga no mesmo nível do nome de domínio alternativo que você está adicionando.

Para obter mais informações, consulte Requisitos para o uso de nomes de domínio alternativos.

Versão mínima do protocolo SSL/TLS

Se estiver usando endereços IP dedicados, defina a versão mínima do protocolo SSL/TLS para a conexão entre os visualizadores e o CloudFront escolhendo uma política de segurança.

Para obter mais informações, consulte Política de segurança no tópico Valores especificados ao criar ou atualizar uma distribuição na.

Versões de HTTP compatíveis

Se você associar um certificado a mais de uma distribuição do CloudFront, todas as distribuições associadas ao certificado deverão usar a mesma opção para Supported HTTP Versions. Especifique essa opção ao criar ou atualizar uma distribuição do CloudFront.