本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
選擇 CloudFront 服務HTTPS請求的方式
如果您希望檢視者為檔案使用替代網域名稱HTTPS並使用替代網域名稱,請選擇下列其中一個選項來處 CloudFront 理HTTPS請求的方式:
-
使用伺服器名稱指示 (SNI)
-建議 -
在每個節點使用專用的 IP 地址
本節說明每個選項的運作方式。
用SNI於服務HTTPS請求(適用於大多數客戶端)
伺服器名稱指示 (SNI)
SSL/TLS交涉發生在建立HTTPS連接的過程的早期。如果 CloudFront 無法立即判斷要求的網域,就會中斷連線。當支援的檢視者SNI提交您的內容HTTPS要求時,會發生以下情況:
-
檢視器會自動從要求取得網域名稱,URL並將其新增至用TLS戶端 hello 訊息的SNI副檔名。
-
當 CloudFront 收到用TLS戶端 hello 時,它會使用SNI擴充功能中的網域名稱來尋找相符的發行 CloudFront 版,並傳回相關聯的TLS憑證。
-
查看器並 CloudFront 執行SSL/TLS協商。
-
CloudFront 將要求的內容傳回給檢視者。
有關當前支持的瀏覽器列表SNI,請參閱維基百科條目服務器名稱指示
如果您想要使用,SNI但某些使用者的瀏覽器不支援SNI,您有幾種選擇:
-
設定 CloudFront 為使用專用 IP 位址來提供HTTPS要求,而非使用SNI。如需詳細資訊,請參閱使用專用 IP 地址來處理HTTPS請求(適用於所有客戶端)。
-
使用 CloudFront SSL/TLS憑證而非自訂憑證。這需要您在中為您的檔案使用分發URLs的 CloudFront 網域名稱,例如
https://d111111abcdef8.cloudfront.net/logo.png
。如果您使用預設 CloudFront 憑證,檢視者必須支援SSL通訊協定TLSv1或更新版本。 CloudFront 不支援預SSLv3設CloudFront 憑證。
您也必須將使用的SSL/TLS憑證從自訂憑證變更為預設 CloudFront 憑證: CloudFront
-
如果您尚未使用分佈來分配內容,可以只變更組態。如需詳細資訊,請參閱更新分佈。
-
如果您已經使用散佈內容來散佈內容,則必須建立新的發行 CloudFront 版,並變更檔案的「」,以減少或減少內容無法使用的時間。URLs如需詳細資訊,請參閱從SSL自定義/ TLS 證書恢復為默認 CloudFront 證書。
-
-
如果您可以控制使用者使用的瀏覽器,請他們將其瀏覽器升級為支援的瀏覽器SNI。
-
HTTP而不是使用HTTPS。
使用專用 IP 地址來處理HTTPS請求(適用於所有客戶端)
伺服器名稱指示 (SNI) 是將要求與網域相關聯的一種方式。另一個方式是使用專用 IP 地址。如果您的使用者無法升級至 2010 年之後發行的瀏覽器或用戶端,您可以使用專用 IP 位址來處理HTTPS要求。有關當前支持的瀏覽器列表SNI,請參閱維基百科條目服務器名稱指示
重要
如果您設定 CloudFront 使用專用 IP 位址提供HTTPS請求,則需支付額外的每月費用。當您將SSL/TLS憑證與發行版產生關聯,並啟用散發時,費用就會開始計費。如需有關 CloudFront 定價的詳細資訊,請參閱 Amazon CloudFront 定價
當您設定 CloudFront 使用專用 IP 位址提供HTTPS要求時,請 CloudFront將您的憑證與每個節 CloudFront 點中的專用 IP 位址建立關聯。當觀眾提交您的內容HTTPS要求時,會發生以下情況:
-
DNS將請求路由至 IP 位址,以便在適用節點發佈。
-
如果用戶端要求在
ClientHello
郵件中提供SNI副檔名,則會 CloudFront 搜尋與該擴充功能相關聯的散佈SNI。-
如果有相符項目,請使用SSL/TLS憑證 CloudFront 回應要求。
-
如果沒有相符項目,請改 CloudFront 用 IP 位址來識別您的發行版,並決定SSL要傳回給檢視器的TLS憑證。
-
-
查看器並使用您的SSL/TLS證書 CloudFront 執行SSL/TLS協商。
-
CloudFront 將要求的內容傳回給檢視者。
此方法適用於每個HTTPS請求,無論用戶使用的瀏覽器或其他查看器如何。
注意
專用不IPs是靜態的,IPs並且可以隨時間變化。系統會從邊緣伺服器清單的 IP 位址範圍動態配置給CloudFront 邊緣位置傳回的 IP 位址。
CloudFront 邊緣伺服器的 IP 位址範圍可能會變更。若要收到 IP 位址變更的通知,請透過 Amazon 訂閱 AWS 公用 IP 位址變更SNS
請求使用三個或更多專用 IPSSL/TLS證書的權限
如果您需要將三個或更多個SSL/TLS專用 IP 憑證與永久關聯的權限 CloudFront,請執行下列程序。如需有關HTTPS請求的詳細資訊,請參閱選擇 CloudFront 服務HTTPS請求的方式。
注意
此程序適用於在您的 CloudFront 發行版中使用三個以上的專用 IP 憑證。預設值為 2。請記住,您不能將多個SSL證書綁定到一個發行版。
您一次只能將單一SSL/TLS憑證與 CloudFront 發行版產生關聯。此數字代表您可以在所有 CloudFront 發行版中使用的專用 IP SSL 憑證總數。
要求使用三個或更多憑證的權 CloudFront限
-
請前往支援中心
並建立案例。 -
請指出您需要許可才能使用的憑證有多少,以及說明請求中的情況。我們會儘快更新您的帳戶。
-
請繼續下一個程序。