Anforderungen für die Verwendung von SSL TLS /-Zertifikaten mit CloudFront - Amazon CloudFront
ZertifikatausstellerAWS-Region für AWS Certificate ManagerZertifikatformatZwischenzertifikateSchlüsseltypPrivater AktivierungsschlüsselBerechtigungenLänge des ZertifikatschlüsselsUnterstützte Typen von ZertifikatenAblaufdatum des Zertifikats und ZertifikaterneuerungDomainnamen in der CloudFront Distribution und im ZertifikatMinimale SSL TLS /ProtokollversionUnterstützte HTTP Versionen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Anforderungen für die Verwendung von SSL TLS /-Zertifikaten mit CloudFront

Die Anforderungen für SSL TLS /-Zertifikate werden in diesem Thema beschrieben. Sie gelten, sofern nicht anders vermerkt, für die beiden folgenden Elemente:

  • Zertifikate zur Verwendung HTTPS zwischen Zuschauern und CloudFront

  • Zertifikate für die Verwendung HTTPS zwischen CloudFront und Ihrer Herkunft

Zertifikataussteller

Wir empfehlen Ihnen, ein öffentliches Zertifikat zu verwenden, das von AWS Certificate Manager (ACM) ausgestellt wurde. Informationen zum Abrufen eines Zertifikats von ACM finden Sie im AWS Certificate Manager Benutzerhandbuch. Um ein ACM Zertifikat zu verwenden CloudFront, stellen Sie sicher, dass Sie das Zertifikat in der Region USA Ost (Nord-Virginia) anfordern () (us-east-1).

CloudFront unterstützt dieselben Zertifizierungsstellen (CAs) wie Mozilla. Wenn Sie also kein Zertifikat verwenden, verwenden Sie ein ZertifikatACM, das von einer Zertifizierungsstelle ausgestellt wurde, die in der Mozilla Included CA Certificate List aufgeführt ist. Weitere Informationen zum Abrufen und Installieren eines Zertifikats finden Sie in der Dokumentation zu Ihrer HTTP Serversoftware und in der Dokumentation für die Zertifizierungsstelle.

AWS-Region für AWS Certificate Manager

Um ein Zertifikat in AWS Certificate Manager (ACM) zu verwenden, das HTTPS zwischen Zuschauern und erforderlich istCloudFront, stellen Sie sicher, dass Sie das Zertifikat in der Region USA Ost (Nord-Virginia) anfordern () (us-east-1).

Wenn Sie HTTPS zwischen CloudFront und Ihren Ursprung benötigen und einen Load Balancer in Elastic Load Balancing als Ursprung verwenden, können Sie das Zertifikat in einem beliebigen AWS-Region Format anfordern oder importieren.

Zertifikatformat

Das Zertifikat muss im X.509-Format vorliegenPEM. Dies ist das Standardformat bei der Verwendung von AWS Certificate Manager.

Zwischenzertifikate

Wenn Sie eine Drittanbieter-Zertifizierungsstelle (CA) verwenden, müssen alle Zwischenzertifikate in der Zertifikatkette aufgelistet sein, die sich in der Datei .pem befinden, beginnend mit einem Zwischenzertifikat für die Zertifizierungsstelle, die das Zertifikat für Ihre Domäne signiert hat. In der Regel finden Sie eine Datei auf der Website der Zertifizierungsstelle, in der die Zwischen- und Stammzertifikate in der richtigen Reihenfolge aufgelistet sind.

Wichtig

Fügen Sie Folgendes nicht hinzu: das Stammzertifikat, Zwischenzertifikate, die sich nicht im Vertrauenspfad befinden, und das Public-Key-Zertifikat Ihrer CA.

Ein Beispiel:

-----BEGIN CERTIFICATE-----
Intermediate certificate 2
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Intermediate certificate 1
-----END CERTIFICATE-----

Schlüsseltyp

CloudFront unterstützt RSA und ECDSA öffentlich-private Schlüsselpaare.

CloudFront unterstützt mithilfe RSA von HTTPS AND-Zertifikaten Verbindungen sowohl zu Viewern als auch zu Ursprüngen. ECDSA Mit AWS Certificate Manager (ACM) können Sie unsere ECDSA Zertifikate anfordern und importieren RSA und sie dann Ihrer CloudFront Distribution zuordnen.

Eine Liste der von dieser Methode unterstützten ECDSA Verschlüsselungen RSA und CloudFront , die Sie in HTTPS Verbindungen aushandeln können, finden Sie unter Unterstützte Protokolle und Chiffren zwischen Zuschauern und CloudFront und. Unterstützte Protokolle und Chiffren zwischen CloudFront und dem Ursprung

Privater Aktivierungsschlüssel

Bei Verwendung eines Zertifikats von einer Drittanbieter-Zertifizierungsstelle sind folgende Punkte zu beachten:

  • Der private Schlüssel muss dem öffentlichen Schlüssel des Zertifikats entsprechen.

  • Der private Schlüssel muss im PEM Format vorliegen.

  • Der private Schlüssel kann nicht mit einem Passwort verschlüsselt werden.

Wenn AWS Certificate Manager (ACM) das Zertifikat bereitgestellt ACM hat, wird der private Schlüssel nicht freigegeben. Der private Schlüssel wird ACM für die Verwendung durch AWS Dienste gespeichert, die in integriert sindACM.

Berechtigungen

Sie benötigen die Erlaubnis, das SSL TLS /-Zertifikat zu verwenden und zu importieren. Wenn Sie AWS Certificate Manager (ACM) verwenden, empfehlen wir, dass Sie AWS Identity and Access Management Berechtigungen verwenden, um den Zugriff auf die Zertifikate einzuschränken. Weitere Informationen finden Sie unter Identity and Access Management im AWS Certificate Manager -Benutzerhandbuch.

Länge des Zertifikatschlüssels

Die Größe des CloudFront unterstützten Zertifikatsschlüssels hängt vom Schlüssel- und Zertifikatstyp ab.

Für RSA Zertifikate:

CloudFront unterstützt 1024-Bit-, 2048-Bit- und 3072-Bit- und 4096-Bit-Schlüssel. RSA Die maximale Schlüssellänge für ein RSA Zertifikat, das Sie mit verwenden, beträgt 4096 Bit. CloudFront

Beachten Sie, dass ACM RSA Zertifikate mit bis zu 2048-Bit-Schlüsseln ausgestellt werden. Um ein 3072-Bit- oder RSA 4096-Bit-Zertifikat zu verwenden, müssen Sie das Zertifikat extern beziehen und in dieses importieren. Danach steht ACM es Ihnen zur Verwendung zur Verfügung. CloudFront

Informationen zum Ermitteln der Größe eines Schlüssels finden Sie unter. RSA Ermitteln Sie die Größe des öffentlichen Schlüssels in einem SSL TLS RSA /-Zertifikat

Für ECDSA Zertifikate:

CloudFront unterstützt 256-Bit-Schlüssel. Um ein ECDSA Zertifikat zu verwenden, das HTTPS zwischen Zuschauern und erforderlich ist CloudFront, verwenden Sie die elliptische Prime256v1-Kurve. ACM

Unterstützte Typen von Zertifikaten

CloudFront unterstützt alle Arten von Zertifikaten, die von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurden.

Ablaufdatum des Zertifikats und Zertifikaterneuerung

Wenn Sie Zertifikate verwenden, die Sie von einer Zertifizierungsstelle (CA) eines Drittanbieters erhalten, müssen Sie die Ablaufdaten der Zertifikate überwachen und die Zertifikate, die Sie in AWS Certificate Manager (ACM) importieren oder in den AWS Identity and Access Management Zertifikatsspeicher hochladen, erneuern, bevor sie ablaufen.

Wenn Sie von einem Anbieter ACM bereitgestellte Zertifikate verwenden, ACM verwaltet er die Verlängerungen von Zertifikaten für Sie. Weitere Informationen finden Sie unter Verwaltete Erneuerung im AWS Certificate Manager -Benutzerhandbuch.

Domainnamen in der CloudFront Distribution und im Zertifikat

Wenn Sie einen benutzerdefinierten Ursprung verwenden, enthält das SSL TLS /-Zertifikat für Ihren Ursprung einen Domainnamen im Feld Common Name und möglicherweise mehrere weitere im Feld Subject Alternative Names. (CloudFront unterstützt Platzhalterzeichen in Zertifikatsdomänennamen.)

Einer der Domänennamen im Zertifikat muss mit dem Domänennamen übereinstimmen, den Sie in „Origin Domain Name (Ursprungsdomänenname)“ angeben. Wenn kein Domainname übereinstimmt, wird der HTTP Statuscode 502 (Bad Gateway) an den Betrachter CloudFront zurückgegeben.

Wichtig

Wenn Sie einer Distribution einen alternativen Domainnamen hinzufügen, wird CloudFront überprüft, ob der alternative Domainname durch das Zertifikat abgedeckt ist, das Sie angehängt haben. Das Zertifikat muss den alternativen Domainnamen abdecken, der im Feld für den alternativen Betreff (SAN) des Zertifikats angegeben ist. Das bedeutet, dass das SAN Feld eine exakte Übereinstimmung mit dem alternativen Domainnamen oder einen Platzhalter auf derselben Ebene des alternativen Domainnamens enthalten muss, den Sie hinzufügen.

Weitere Informationen finden Sie unter Voraussetzungen für die Verwendung von alternativen Domänennamen.

Minimale SSL TLS /Protokollversion

Wenn Sie dedizierte IP-Adressen verwenden, legen Sie die Mindestversion des SSL TLS /-Protokolls für die Verbindung zwischen Zuschauern fest und CloudFront wählen Sie eine Sicherheitsrichtlinie aus.

Weitere Informationen finden Sie unter Sicherheitsrichtlinie (SSLTLSMindest-/Version) im Thema Referenz zu Verteilungseinstellungen.

Unterstützte HTTP Versionen

Wenn Sie ein Zertifikat mehreren CloudFront Distributionen zuordnen, müssen alle mit dem Zertifikat verknüpften Distributionen dieselbe Option für Unterstützte Versionen HTTP verwenden. Sie geben diese Option an, wenn Sie eine CloudFront Verteilung erstellen oder aktualisieren.