選擇 CloudFront 服務HTTPS請求的方式 - Amazon CloudFront

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

選擇 CloudFront 服務HTTPS請求的方式

如果您希望檢視者為檔案使用替代網域名稱HTTPS並使用替代網域名稱,請選擇下列其中一個選項來處 CloudFront 理HTTPS請求的方式:

本節說明每個選項的運作方式。

用SNI於服務HTTPS請求(適用於大多數客戶端)

伺服器名稱指示 (SNI) 是 2010 年之後發行的瀏覽器和用戶端所支援的TLS通訊協定的延伸。如果您設定使 CloudFront 用服務HTTPS請求SNI,請 CloudFront 將您的替代網域名稱與每個節點的 IP 位址建立關聯。當檢視者提交內容的HTTPS要求時,會將要求DNS路由至 IP 位址,以取得正確的節點位置。您網域名稱的 IP 位址是在SSL/TLS握手交涉期間決定的;IP 位址並非專用於您的分發。

SSL/TLS交涉發生在建立HTTPS連接的過程的早期。如果 CloudFront 無法立即判斷要求的網域,就會中斷連線。當支援的檢視者SNI提交您的內容HTTPS要求時,會發生以下情況:

  1. 檢視器會自動從要求取得網域名稱,URL並將其新增至用TLS戶端 hello 訊息的SNI副檔名。

  2. 當 CloudFront 收到用TLS戶端 hello 時,它會使用SNI擴充功能中的網域名稱來尋找相符的發行 CloudFront 版,並傳回相關聯的TLS憑證。

  3. 查看器並 CloudFront 執行SSL/TLS協商。

  4. CloudFront 將要求的內容傳回給檢視者。

有關當前支持的瀏覽器列表SNI,請參閱維基百科條目服務器名稱指示

如果您想要使用,SNI但某些使用者的瀏覽器不支援SNI,您有幾種選擇:

  • 設定 CloudFront 為使用專用 IP 位址來提供HTTPS要求,而非使用SNI。如需詳細資訊,請參閱使用專用 IP 地址來處理HTTPS請求(適用於所有客戶端)

  • 使用 CloudFront SSL/TLS憑證而非自訂憑證。這需要您在中為您的檔案使用分發URLs的 CloudFront 網域名稱,例如https://d111111abcdef8.cloudfront.net/logo.png

    如果您使用預設 CloudFront 憑證,檢視者必須支援SSL通訊協定TLSv1或更新版本。 CloudFront 不支援預SSLv3設CloudFront 憑證。

    您也必須將使用的SSL/TLS憑證從自訂憑證變更為預設 CloudFront 憑證: CloudFront

    • 如果您尚未使用分佈來分配內容,可以只變更組態。如需詳細資訊,請參閱更新分佈

    • 如果您已經使用散佈內容來散佈內容,則必須建立新的發行 CloudFront 版,並變更檔案的「」,以減少或減少內容無法使用的時間。URLs如需詳細資訊,請參閱從SSL自定義/ TLS 證書恢復為默認 CloudFront 證書

  • 如果您可以控制使用者使用的瀏覽器,請他們將其瀏覽器升級為支援的瀏覽器SNI。

  • HTTP而不是使用HTTPS。

使用專用 IP 地址來處理HTTPS請求(適用於所有客戶端)

伺服器名稱指示 (SNI) 是將要求與網域相關聯的一種方式。另一個方式是使用專用 IP 地址。如果您的使用者無法升級至 2010 年之後發行的瀏覽器或用戶端,您可以使用專用 IP 位址來處理HTTPS要求。有關當前支持的瀏覽器列表SNI,請參閱維基百科條目服務器名稱指示

重要

如果您設定 CloudFront 使用專用 IP 位址提供HTTPS請求,則需支付額外的每月費用。當您將SSL/TLS憑證與發行版產生關聯,並啟用散發時,費用就會開始計費。如需有關 CloudFront 定價的詳細資訊,請參閱 Amazon CloudFront 定價。除此之外:請參閱 Using the Same Certificate for Multiple CloudFront Distributions

當您設定 CloudFront 使用專用 IP 位址提供HTTPS要求時,請 CloudFront將您的憑證與每個節 CloudFront 點中的專用 IP 位址建立關聯。當觀眾提交您的內容HTTPS要求時,會發生以下情況:

  1. DNS將請求路由至 IP 位址,以便在適用節點發佈。

  2. 如果用戶端要求在ClientHello郵件中提供SNI副檔名,則會 CloudFront 搜尋與該擴充功能相關聯的散佈SNI。

    • 如果有相符項目,請使用SSL/TLS憑證 CloudFront 回應要求。

    • 如果沒有相符項目,請改 CloudFront 用 IP 位址來識別您的發行版,並決定SSL要傳回給檢視器的TLS憑證。

  3. 查看器並使用您的SSL/TLS證書 CloudFront 執行SSL/TLS協商。

  4. CloudFront 將要求的內容傳回給檢視者。

此方法適用於每個HTTPS請求,無論用戶使用的瀏覽器或其他查看器如何。

注意

專用不IPs是靜態的,IPs並且可以隨時間變化。系統會從邊緣伺服器清單的 IP 位址範圍動態配置給CloudFront 邊緣位置傳回的 IP 位址。

CloudFront 邊緣伺服器的 IP 位址範圍可能會變更。若要收到 IP 位址變更的通知,請透過 Amazon 訂閱 AWS 公用 IP 位址變更SNS

請求使用三個或更多專用 IPSSL/TLS證書的權限

如果您需要將三個或更多個SSL/TLS專用 IP 憑證與永久關聯的權限 CloudFront,請執行下列程序。如需有關HTTPS請求的詳細資訊,請參閱選擇 CloudFront 服務HTTPS請求的方式

注意

此程序適用於在您的 CloudFront 發行版中使用三個以上的專用 IP 憑證。預設值為 2。請記住,您不能將多個SSL證書綁定到一個發行版。

您一次只能將單一SSL/TLS憑證與 CloudFront 發行版產生關聯。此數字代表您可以在所有 CloudFront 發行版中使用的專用 IP SSL 憑證總數。

要求使用三個或更多憑證的權 CloudFront限
  1. 請前往支援中心並建立案例。

  2. 請指出您需要許可才能使用的憑證有多少,以及說明請求中的情況。我們會儘快更新您的帳戶。

  3. 請繼續下一個程序。