設定備用網域名稱和 HTTPS - Amazon CloudFront
取得 SSL/TLS 憑證匯入 SSL/TLS 憑證更新您的 CloudFront 發行版

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

設定備用網域名稱和 HTTPS

若要在檔案的 URL 中使用替代網域名稱,以及在檢視者之間使用 HTTPS CloudFront,請執行適用的程序。

取得 SSL/TLS 憑證

如果您尚未擁有憑證,請取得一個 SSL/TLS 憑證。如需詳細資訊,請參閱適用的文件:

  • 若要使用 AWS Certificate Manager (ACM) 提供的憑證,請參閱使用AWS Certificate Manager 者指南。然後跳至 更新您的 CloudFront 發行版

    注意

    我們建議您使用 ACM 在 AWS 受管資源上佈建、管理和部署 SSL/TLS 憑證。您必須在美國東部 (維吉尼亞北部) 區域請求 ACM 憑證。

  • 若要從第三方憑證授權單位 (CA) 取得憑證,請參閱憑證授權單位提供的文件。當您有憑證時,請繼續進行下一個程序。

匯入 SSL/TLS 憑證

如果您從第三方 CA 取得憑證,請將憑證匯入到 ACM 或上傳至 IAM 憑證存放區:

ACM (推薦)

ACM 讓您從 ACM 主控台以及透過程式設計方式匯入第三方憑證。如需將憑證匯入 ACM 的詳細資訊,請參閱 AWS Certificate Manager 使用者指南中的將憑證匯入 AWS Certificate Manager。您必須在美國東部 (維吉尼亞北部) 區域匯入憑證。

IAM 憑證存放區

(不建議使用) 使用下列 AWS CLI 命令將第三方憑證上傳至 IAM 憑證存放區。

aws iam upload-server-certificate \
        --server-certificate-name CertificateName \
        --certificate-body file://public_key_certificate_file \
        --private-key file://privatekey.pem \
        --certificate-chain file://certificate_chain_file \
        --path /cloudfront/path/

注意下列事項:

  • AWS 帳戶 — 您必須使用您用來建立 CloudFront 分發的相同 AWS 帳戶,將憑證上傳至 IAM 憑證存放區。

  • --path 參數 – 當您將憑證上傳到 IAM 時,--path 參數 (憑證路徑) 的值必須以 /cloudfront/ 開頭,例如 /cloudfront/production//cloudfront/test/。路徑必須以 / 結尾。

  • 現有的憑證 – 您必須指定 --server-certificate-name--path 參數的值 (不同於與現有憑證相關聯的值)。

  • 使用 CloudFront 主控台 — 您在中為--server-certificate-name參數指定的值 (例如) 會顯示在 CloudFront主控台的「SSL 憑證」清單中。 AWS CLImyServerCertificate

  • 使用 CloudFront API — 記下 AWS CLI 傳回的英數字串,例如AS1A2M3P4L5E67SIIXR3J。這是您會在 IAMCertificateId 元素中指定的值。您不需要也由 CLI 傳回的 IAM ARN。

若要取得有關的更多資訊 AWS CLI,請參閱《AWS Command Line Interface 使用指南》和《指AWS CLI令參考》。

更新您的 CloudFront 發行版

若要更新分佈的設定,請執行以下程序:

若要設定替代網域名稱的 CloudFront 散佈

  1. 登入 AWS Management Console 並開啟 CloudFront 主控台,位於https://console.aws.amazon.com/cloudfront/v4/home

  2. 選擇您希望更新的分佈 ID。

  3. General (一般) 索引標籤上,選擇 Edit (編輯)

  4. 更新下列的值:

    備用網域名稱 (CNAME)

    選擇 [新增項目] 以新增適用的替代網域名稱。使用逗號區隔網域名稱,或在新的一行輸入每個網域名稱。

    自訂 SSL 憑證

    從下拉式清單中選取憑證。

    此處列出高達 100 個憑證。如果您有超過 100 個憑證,而您沒有看到想要新增的憑證,可以在欄位中輸入憑證 ARN 來選取。

    如果您將憑證上傳至 IAM 憑證存放區但它沒有被列出,而您無法在欄位中輸入名稱來選取,請檢閱此程序 匯入 SSL/TLS 憑證 以確認您是否正確上傳憑證。

    重要

    將 SSL/TLS 憑證與CloudFront 分發產生關聯後,請勿從 ACM 或 IAM 憑證存放區刪除憑證,直到您從所有發行版中移除憑證並部署所有發行版。

  5. 選擇儲存變更

  6. 設定 CloudFront 為在檢視者之間需要 HTTPS,以及 CloudFront:

    1. Behaviors (行為) 索引標籤中,選擇您想要更新的快取行為,然後選擇 Edit (編輯)

    2. 請針對 Viewer Protocol Policy (檢視器通訊協定政策) 指定下列其中一個值:

      重新引導 HTTP 到 HTTPS

      檢視者可以使用這兩種通訊協定,但 HTTP 要求會自動重新導向至 HTTPS 要求。 CloudFront會傳回 HTTP 狀態碼以301 (Moved Permanently)及新的 HTTPS 網址。檢視器接著會 CloudFront 使用 HTTPS URL 將要求重新提交至。

      重要

      CloudFront 不會將DELETE、、OPTIONSPATCHPOST、或PUT要求從 HTTP 重新導向至 HTTPS。如果您將快取行為設定為重新導向至 HTTPS,請使用 HTTP DELETE 狀態碼 CloudFront 回應該快取行為的 HTTP POST、、、或PUT要求403 (Forbidden)OPTIONS PATCH

      當檢視者發出重新導向至 HTTPS 要求的 HTTP 要求時,兩個要求都會 CloudFront 收取費用。對於 HTTP 請求,費用僅適用於請求以及 CloudFront返回給檢視器的標頭。針對 HTTPS 請求,會收取該請求與標頭及原始伺服器傳回的檔案之費用。

      僅限 HTTPS

      檢視器只能在使用 HTTPS 的情況下存取您的內容。如果檢視器傳送 HTTP 要求而非 HTTPS 要求,則會傳 CloudFront 回 HTTP 狀態碼,403 (Forbidden)而不會傳回檔案。

    3. 請選擇 Yes, Edit (是,編輯)

    4. 針對您想要在檢視器和檢視器之間需要 HTTPS 的每個額外快取行為,重複步驟 a 到 c CloudFront。

  7. 您使用生產環境中已更新的組態之前,請先確認以下項目:

    • 每個快取行為中的路徑模式僅適用於您想要檢視器使用 HTTPS 的請求。

    • 快取行為會以您要評估 CloudFront的順序列出。如需詳細資訊,請參閱 路徑模式

    • 快取行為會將請求路由到正確的原始伺服器。