使用 SSL/TLS 证书的配额 CloudFront （仅限查看者之间的 HTTPS） CloudFront

请注意在 CloudFront 中使用 SSL/TLS 证书的以下配额（以前称为限制）。这些配额仅适用于您使用 AWS Certificate Manager (ACM) 预置的 SSL/TLS 证书、导入到 ACM 或上传到 IAM 证书存储区以供查看者和之间的 HTTPS 通信的 SSL/TLS 证书。 CloudFront

每个 CloudFront 分发的最大证书数量

最多可以将一个 SSL/TLS 证书与每个 CloudFront 分配关联。

您可以导入 ACM 或上载到 IAM 证书存储的证书的最大数量

如果您从第三方 CA 获得了 SSL/TLS 证书，则必须在下列位置之一存储证书：

• AWS Certificate Manager – 有关 ACM 证书数量的当前配额，请参阅《AWS Certificate Manager 用户指南》中的配额。列出的限制是总数，包括您使用 ACM 预置的证书以及您导入 ACM 的证书。

• IAM 证书存储 – 有关您可以上载到 IAM 证书存储以供 AWS 账户使用的证书数的当前配额（以前称为限制），请参阅《IAM 用户指南》中的 IAM 和 STS 限制。您可以在 AWS Management Console中请求提高配额。

每个 AWS 账户的证书的最大数量（仅限专用 IP 地址）

如果要使用专用 IP 地址处理 HTTPS 请求，请注意以下几点：

• 默认情况下， CloudFront 允许您在AWS账户中使用两个证书，一个用于日常使用，另一个用于需要轮换多个分配的证书。

• 如果您的 AWS 账户需要两个以上的自定义 SSL/TLS 证书，请转至支持中心并创建案例。注明您需要多少个证书的使用授权，并在请求中描述具体情况。我们将尽快更新您的账户。

对使用不同AWS账户创建的 CloudFront 分配使用相同的证书

如果您使用的是第三方 CA，并且想要将同一证书用于使用不同AWS账户创建的多个CloudFront 分配，则必须将证书导入 ACM 或为每个AWS账户将其上传到 IAM 证书存储区一次。

如果您使用的是 ACM 提供的证书，则无法配置CloudFront 为使用由其他AWS账户创建的证书。

为其他服务使用相同的证书 CloudFront 和为其他AWS服务使用相同的证书

如果您从可信的证书颁发机构（例如 Comodo 或 Symantec）购买了证书，则可以将相同的证书用于其他服务，也可以将其用于其他CloudFront 服务。 DigiCert AWS如果要将证书导入到 ACM，您只需要导入一次即可供多个 AWS 服务使用。

如果您使用的是 ACM 提供的证书，这些证书会存储在 ACM 中。

对多个 CloudFront 发行版使用相同的证书

对于任何或所有您正用来处理 HTTPS 请求的 CloudFront 分发，您都可以使用同一个证书。请注意以下几点：

• 您可以使用同一个证书来使用专用 IP 地址处理请求以及使用 SNI 处理请求。

• 只能将一个证书与每个分配关联。

• 每个分配必须包含一个或多个备用域名，这些域名也会出现在证书的公用名字段或主题备用名称字段中。

• 如果您使用专用 IP 地址处理 HTTPS 请求，并且使用同一个AWS账户创建了所有分配，那么通过为所有分配使用相同的证书，可以显著降低成本。 CloudFront 按每份证书收费，而不是按每次分发收费。

  例如，假设您使用同一个 AWS 账户创建了三个分配，并且您对所有三个分配使用同一个证书。将仅针对您使用专用 IP 地址计算一次费用。

  但是，如果您使用专用 IP 地址处理 HTTPS 请求，并使用相同的证书在不同的AWS账户中创建 CloudFront 分配，则会向每个账户收取使用专用 IP 地址的费用。例如，如果您使用三个不同的 AWS 账户创建三个分配，并且您为所有三个分配使用同一个证书，则向每个账户收取专用 IP 地址的完整使用费。