本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用SSL/TLS證書的要求 CloudFront
SSL/TLS憑證的需求將在本主題中說明。它們適用於以下兩種情況 (除非另有說明):
-
HTTPS在檢視者之間使用的憑證 CloudFront
-
在 CloudFront 與您的來源HTTPS之間使用的憑證
主題
憑證發行者
我們建議您使用由 AWS Certificate Manager (ACM)us-east-1
) 憑證。
CloudFront 支援與 Mozilla 相同的憑證授權單位 (CAs),因此如果您不使用ACM,請在 Mozilla 內含的 CA 憑證清單中使用 CA 所簽發的憑證
AWS 區域 對於 AWS Certificate Manager
若要使用 AWS Certificate Manager (ACM) 中的憑證以便在檢視者HTTPS之間要求CloudFront,請務必在美國東部 (維吉尼亞北部) 區域 () 申請 (或匯入us-east-1
) 憑證。
如果您想要在 CloudFront 和來源HTTPS之間進行要求,並且在 Elastic Load Balancing 中使用負載平衡器作為來源,則可以在 any 中請求或導入證書 AWS 區域。
憑證格式
憑證必須是 X.509 PEM 格式。如果您使用 AWS Certificate Manager,這是預設格式。
中繼憑證
如果您使用第三方憑證授權機構 (CA),請在列出位於 .pem
檔案的憑證鏈中的所有中繼憑證,從為您網域簽屬憑證的 CA 開始。一般而言,您可以在 CA 網站上找到以適當鏈結順序列出中繼和根憑證的檔案。
重要
不包括下列項目:根憑證、不在信任路徑的中繼憑證,或您 CA 的公有金鑰憑證。
範例如下:
-----BEGIN CERTIFICATE-----
Intermediate certificate 2
-----END CERTIFICATE----- -----BEGIN CERTIFICATE-----Intermediate certificate 1
-----END CERTIFICATE-----
Key type
CloudFront 支援RSA和ECDSA公開私密金鑰配對。
CloudFront 支援使用和ECDSA憑證與檢視器RSA和來源的HTTPS連線。使用 AWS Certificate Manager
(ACM)
如需可在HTTPS連線中交涉所支援 CloudFront 的RSA和ECDSA密碼清單,請參閱檢視器與之間支援的通訊協定和密碼 CloudFront和。與來源之間支援的通訊協定 CloudFront 和密碼
私有金鑰
如果您從第三方憑證授權單位 (CA) 使用憑證,請注意以下事項:
-
私有金鑰必須符合憑證中的公有金鑰。
-
私密金鑰必須是格PEM式。
-
無法用密碼加密私有金鑰。
如果 AWS Certificate Manager (ACM)提供證書,則ACM不會釋放私鑰。私密金鑰會儲存在中,以ACM供與整合的 AWS 服務使用ACM。
許可
您必須具有使用和匯入SSL/TLS憑證的權限。如果您使用的是 AWS Certificate Manager (ACM),建議您使用 AWS Identity and Access Management 權限來限制憑證的存取權。如需詳細資訊,請參閱 AWS Certificate Manager 使用者指南中的 Identity and Access Management。
憑證金鑰的大小
CloudFront 支援的憑證金鑰大小取決於金鑰和憑證的類型。
- 對於RSA憑證:
-
CloudFront 支援 1024 位元、2048 位元及 3072 位元金鑰,以及 4096 位元金鑰。RSA搭配使用之RSA憑證的金鑰長度上限 CloudFront 為 4096 位元。
請注意,ACM發行最多 2048 位元金鑰的RSA憑證。若要使用 3072 位元或 4096 位元RSA憑證,您需要從外部取得憑證並將其匯入ACM,之後就可以與其搭配使用。 CloudFront
若要取得有關如何判斷RSA金鑰大小的資訊,請參閱〈〉確定SSL/TLSRSA證書中公鑰的大小。
- 對於ECDSA憑證:
-
CloudFront 支援 256 位元金鑰。若要在檢視器HTTPS之間使ACM用中的ECDSA憑證 CloudFront,請使用 prime256v1 橢圓曲線。
支援的憑證類型
CloudFront 支援受信任憑證授權單位所發行的所有憑證類型。
憑證過期日期和續約
如果您使用的是從協力廠商憑證授權單位 (CA) 取得的憑證,則必須監控憑證到期日期,並更新匯入 AWS Certificate Manager (ACM) 的憑證,或在憑證存放區到期前上傳到 AWS Identity and Access Management 憑證存放區。
如果您使用ACM提供的憑證,請為您ACM管理憑證續約。如需詳細資訊,請參閱 AWS Certificate Manager 使用者指南中的受管續約。
CloudFront 發行版和憑證中的網域名稱
當您使用自訂來源時,您來源上的SSL/TLS憑證會在「一般名稱」欄位中包含網域名稱,而在「主體別名」欄位中可能包含其他網域名稱。(在憑證網域名稱中CloudFront 支援萬用字元。)
憑證中其中一個網域名稱必須符合您指定給原始網域名稱的網域名稱。如果沒有相符的網域名稱,則會將HTTP狀態碼 CloudFront 傳回502 (Bad Gateway)
給檢視器。
重要
當您將替代網域名稱新增至分發時,請 CloudFront 檢查您所附加的憑證是否涵蓋替代網域名稱。憑證必須涵蓋憑證主體替代名稱 (SAN) 欄位中的替代網域名稱。這表示SAN欄位必須包含與替代網域名稱完全相符的內容,或是包含與您要新增的替代網域名稱相同層級的萬用字元。
如需詳細資訊,請參閱使用備用網域名稱的需求。
最低SSL/TLS協議版本
如果您使用專用 IP 位址,請為檢視者之間的連線設定最低SSL/TLS通訊協定版本,並 CloudFront 選擇安全性原則。
如需詳細資訊,請參閱 發佈設定參考 主題中的 安全策略(最低SSL/TLS版本)。
支援的HTTP版本
如果您將一個憑證與多個 CloudFront 發行版產生關聯,則與憑證相關聯的所有發行版都必須使用相同的選項支援的HTTP版本。您可以在建立或更新 CloudFront 發佈時指定此選項。