选择如何处理 HT CloudFront TPS 请求 - Amazon CloudFront
使用 SNI 处理 HTTPS 请求(适用于大多数客户端)使用专用 IP 地址处理 HTTPS 请求(适用于所有客户端)请求使用三个或更多专用 IP SSL/TLS 证书的权限

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

选择如何处理 HT CloudFront TPS 请求

如果您希望查看者使用 HTTPS 并为文件使用备用域名,请选择以下选项之一,了解如何处理 HTT CloudFront PS 请求:

本部分说明了每个选项的工作方式。

使用 SNI 处理 HTTPS 请求(适用于大多数客户端)

服务器名称指示 (SNI) 是对 TLS 协议的扩展,2010 年以后发布的浏览器和客户端均支持。如果您配置 CloudFront 为使用 SNI 处理 HTTPS 请求,请 CloudFront 将您的备用域名与每个边缘站点的 IP 地址相关联。当查看器提交针对内容的 HTTPS 请求时,DNS 将该请求传送到正确边缘站点的 IP 地址。指向您域名的 IP 地址在 SSL/TLS 握手协商期间确定;IP 地址并非专用于您的分发。

在建立 HTTPS 连接的过程的早期便进行了 SSL/TLS 协商。如果 CloudFront 无法立即确定请求的域名,则会断开连接。在支持 SNI 的查看器针对您的内容提交 HTTPS 请求时,将发生以下操作:

  1. 查看器自动从请求 URL 中获取域名,并将其添加到请求标头中的字段。

  2. CloudFront 收到请求后,它会在请求标头中找到域名,并使用适用的 SSL/TLS 证书响应请求。

  3. 查看器并 CloudFront 执行 SSL/TLS 协商。

  4. CloudFront 将请求的内容返回给查看者。

有关支持 SNI 的浏览器的当前列表,请参阅 Wikipedia 条目服务器名称指示

如果您希望使用 SNI,但您的某些用户的浏览器不支持 SNI,则您有以下几种选择:

  • 配置 CloudFront 为使用专用 IP 地址而不是 SNI 来处理 HTTPS 请求。有关更多信息,请参阅使用专用 IP 地址处理 HTTPS 请求(适用于所有客户端)

  • 使用 CloudFront SSL/TLS 证书代替自定义证书。例如,这要求您在文件的 URL 中使用分发的 CloudFront 域名https://d111111abcdef8.cloudfront.net/logo.png

    如果您使用默认 CloudFront 证书,则查看器必须支持 SSL 协议 TLSv1 或更高版本。 CloudFront 不支持使用默认CloudFront 证书的 SSLv3。

    您还必须将 CloudFront 正在使用的 SSL/TLS 证书从自定义证书更改为默认证书: CloudFront

    • 如果您尚未使用分配来分发内容,则只需更改配置。有关更多信息,请参阅更新分配

    • 如果您使用发行版来分发内容,则必须创建新的 CloudFront 分配并更改文件的 URL,以减少或消除内容不可用的时间。有关更多信息,请参阅从自定义 SSL/TLS 证书恢复为默认证书 CloudFront

  • 如果您可以控制用户使用的浏览器,请让用户将浏览器升级为支持 SNI 的浏览器。

  • 使用 HTTP 而不是 HTTPS。

使用专用 IP 地址处理 HTTPS 请求(适用于所有客户端)

服务器名称指示 (SNI) 是一种将请求与域关联的方法。另一种方法是使用专用 IP 地址。如果您的用户无法升级到 2010 年之后发布的浏览器或客户端,您可以使用专用 IP 地址为 HTTPS 请求提供服务。有关支持 SNI 的浏览器的当前列表,请参阅 Wikipedia 条目服务器名称指示

重要

如果您配置 CloudFront 为使用专用 IP 地址处理 HTTPS 请求,则需要支付额外的月费。一旦您将 SSL/TLS 证书与某个分配关联并启用该分配,就将开始计费。有关 CloudFront 定价的更多信息,请参阅 Amazon CloudFront 定价。另请参阅Using the Same Certificate for Multiple CloudFront Distributions

当您配置 CloudFront 为使用专用 IP 地址处理 HTTPS 请求时,请CloudFront 将您的备用域名与每个CloudFront 边缘站点的专用 IP 地址相关联。在查看器针对您的内容提交 HTTPS 请求时,将发生以下操作:

  1. DNS 将请求路由到适用边缘站点中您的分配的 IP 地址。

  2. CloudFront 使用 IP 地址来识别您的发行版并确定要返回给查看者的 SSL/TLS 证书。

  3. 查看器并使用您的 SSL/TLS 证书 CloudFront 执行 SSL/TLS 协商。

  4. CloudFront 将请求的内容返回给查看者。

此方法适用于每个 HTTPS 请求,无论用户使用的是浏览器还是其他查看器。

请求使用三个或更多专用 IP SSL/TLS 证书的权限

如果您需要权限才能永久关联三个或更多 SSL/TLS 专用 IP 证书 CloudFront,请执行以下步骤。有关 HTTPS 请求的更多信息,请参阅选择如何处理 HT CloudFront TPS 请求

注意

此过程用于在您的 CloudFront 发行版中使用三个或更多专用 IP 证书。默认值是 2。请记住,您不能将多个 SSL 证书绑定到一个分配。

一次只能将一个 SSL/TLS 证书关联到一个 CloudFront 分发。此数字表示您可以在所有 CloudFront 发行版中使用的专用 IP SSL 证书的总数。

请求权限以在 CloudFront 分配中使用三个或更多证书

  1. 转到支持中心并创建案例。

  2. 注明您需要多少个证书的使用授权,并在请求中描述具体情况。我们将尽快更新您的账户。

  3. 继续执行下一个过程。