搭配使用 SSL/TLS 憑證的需求 CloudFront - Amazon CloudFront
憑證發行者AWS 區域 對於 AWS Certificate Manager憑證格式中繼憑證Key type私有金鑰許可憑證金鑰的大小支援的憑證類型憑證過期日期和續約 CloudFront 發行版和憑證中的網域名稱最低 SSL/TLS 通訊協定版本支援的 HTTP 版本

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

搭配使用 SSL/TLS 憑證的需求 CloudFront

本主題描述 SSL/TLS 憑證的需求。它們適用於以下兩種情況 (除非另有說明):

  • 在檢視者之間使用 HTTPS 的憑證 CloudFront

  • 在 CloudFront 與您的來源之間使用 HTTPS 的憑證

憑證發行者

我們建議您使用由 AWS Certificate Manager (ACM) 出具的憑證。如需有關如何從 ACM 取得憑證的資訊,請參閱 AWS Certificate Manager 使用者指南。若要在中使用 ACM 憑證 CloudFront,請務必在美國東部 (維吉尼亞北部) 區域 () 申請 (或匯入) 憑證。us-east-1

CloudFront 支援與 Mozilla 相同的憑證授權單位 (CA),因此如果您不使用 ACM,請在 Mozilla 內含的 CA 憑證清單上使用 CA 核發的憑證。如需有關如何取得和安裝憑證的詳細資訊,請參閱 HTTP 伺服器軟體的文件和 CA 的文件。

AWS 區域 對於 AWS Certificate Manager

若要在 AWS Certificate Manager (ACM) 中使用憑證以在檢視者之間要求 HTTPSCloudFront,請確定您在美國東部 (維吉尼亞北部) 區域 () 要求 (或匯入) 憑證。us-east-1

如果您想要在原始伺服器之間 CloudFront 需要 HTTPS,並且在 Elastic Load Balancing 中使用負載平衡器作為來源,則可以在 any 中要求或匯入憑證 AWS 區域。

憑證格式

憑證必須為 X.509 PEM 格式。如果您使用 AWS Certificate Manager,這是預設格式。

中繼憑證

如果您使用第三方憑證授權機構 (CA),請在列出位於 .pem 檔案的憑證鏈中的所有中繼憑證,從為您網域簽屬憑證的 CA 開始。一般而言,您可以在 CA 網站上找到以適當鏈結順序列出中繼和根憑證的檔案。

重要

不包括下列項目:根憑證、不在信任路徑的中繼憑證,或您 CA 的公有金鑰憑證。

範例如下:

-----BEGIN CERTIFICATE-----
Intermediate certificate 2
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Intermediate certificate 1
-----END CERTIFICATE-----

Key type

CloudFront 支援 RSA 和 ECDSA 的公開私密金鑰配對。

CloudFront 支援使用 RSA 和 ECDSA 憑證與檢視器和來源的 HTTPS 連線。使用 AWS Certificate Manager (ACM),您可以要求並匯入 RSA 或 ECDSA 憑證,然後將它們與您的散發產生關聯。 CloudFront

如需您可以在 HTTPS 連線中進行交涉所支援的 RSA 和 ECDSA 密碼清單 CloudFront ,請參閱和。檢視器與之間支援的通訊協定和密碼 CloudFront 與來源之間支援的通訊協定 CloudFront 和密碼

私有金鑰

如果您從第三方憑證授權單位 (CA) 使用憑證,請注意以下事項:

  • 私有金鑰必須符合憑證中的公有金鑰。

  • 私有金鑰必須是 PEM 格式。

  • 無法用密碼加密私有金鑰。

如果 AWS Certificate Manager (ACM) 提供憑證,ACM 就不會釋放私密金鑰。私密金鑰會儲存在 ACM 中,供與 ACM 整合的 AWS 服務使用。

許可

您必須具有使用和匯入 SSL/TLS 憑證的許可。如果您使用的是 AWS Certificate Manager (ACM),建議您使用 AWS Identity and Access Management 權限來限制憑證的存取權。如需詳細資訊,請參閱 AWS Certificate Manager 使用者指南中的 Identity and Access Management

憑證金鑰的大小

CloudFront 支援的憑證金鑰大小取決於金鑰和憑證的類型。

對於 RSA 憑證:

CloudFront 支援 1024 位元、2048 位元和 3072 位元和 4096 位元 RSA 金鑰。搭配使用之 RSA 憑證的金鑰長度上限為 4096 CloudFront 位元。

請注意,ACM 會發出具有多達 2048 位元金鑰的 RSA 憑證。若要使用 3072 位元或 4096 位元的 RSA 憑證,您需要從外部取得憑證並將其匯入 ACM,之後就可以與您搭配使用。 CloudFront

如需有關如何判斷 RSA 金鑰大小的詳細資訊,請參閱決定 SSL/TLS RSA 憑證中公開金鑰的大小

對於 ECDSA 憑證:

CloudFront 支援 256 位元金鑰。若要在 ACM 中使用 ECDSA 憑證以在檢視器之間要求以及之間使用 HTTPS CloudFront,請使用最初的 256v1 橢圓曲線。

支援的憑證類型

CloudFront 支援受信任憑證授權單位所發行的所有憑證類型。

憑證過期日期和續約

如果您使用的是從協力廠商憑證授權單位 (CA) 取得的憑證,則必須監控憑證到期日期,並更新您匯入 AWS Certificate Manager (ACM) 的憑證,或在憑證存放區到期前上傳到 AWS Identity and Access Management 憑證存放區。

如果使用 ACM 提供的憑證,ACM 會為您管理憑證續約。如需詳細資訊,請參閱 AWS Certificate Manager 使用者指南中的受管續約

CloudFront 發行版和憑證中的網域名稱

當您使用自訂原始伺服器時,原始伺服器上的 SSL/TLS 憑證包含 Common Name (通用名稱) 欄位中的網域名稱,且在 Subject Alternative Names (主體別名) 欄位中可能還有更多網域名稱。(在憑證網域名稱中CloudFront 支援萬用字元。)

憑證中其中一個網域名稱必須符合您指定給原始網域名稱的網域名稱。如果沒有相符的網域名稱,則會將 HTTP 狀態碼 CloudFront 傳回502 (Bad Gateway)給檢視器。

重要

當您將替代網域名稱新增至分發時,請 CloudFront 檢查您所附加的憑證是否涵蓋替代網域名稱。憑證必須涵蓋憑證主體別名 (SAN) 欄位中的備用網域名稱。這表示 SAN 欄位必須包含完全相符的替代網域名稱,或在您要新增之替代網域名稱的相同層級包含萬用字元。

如需詳細資訊,請參閱 使用備用網域名稱的需求

最低 SSL/TLS 通訊協定版本

如果您使用專用 IP 位址,請為檢視者之間的連線設定最低 SSL/TLS 通訊協定版本,並 CloudFront 選擇安全性原則。

如需詳細資訊,請參閱 發佈設定參考 主題中的 安全性政策 (最低 SSL/TLS 版本)

支援的 HTTP 版本

如果您將一個憑證與多個 CloudFront 發行版產生關聯,則與憑證相關聯的所有發行版都必須使用相同的選項支援的 HTTP 版本。您可以在建立或更新 CloudFront 發佈時指定此選項。