Wählen Sie aus, wie Anfragen CloudFront bearbeitet werden HTTPS - Amazon CloudFront
Wird verwendetSNI, um HTTPS Anfragen zu bearbeiten (funktioniert für die meisten Clients)Verwenden Sie eine dedizierte IP-Adresse, um HTTPS Anfragen zu bearbeiten (funktioniert für alle Clients)Beantragen Sie die Erlaubnis zur Verwendung von drei oder mehr dedizierten SSL TLS IP-/Zertifikaten

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Wählen Sie aus, wie Anfragen CloudFront bearbeitet werden HTTPS

Wenn Sie möchten, dass Ihre Zuschauer alternative Domainnamen für Ihre Dateien verwenden, wählen Sie eine der folgenden Optionen für die HTTPS Bearbeitung CloudFront von Anfragen: HTTPS

In diesem Abschnitt wird erläutert, wie beide Optionen funktionieren.

Wird verwendetSNI, um HTTPS Anfragen zu bearbeiten (funktioniert für die meisten Clients)

Server Name Indication (SNI) ist eine Erweiterung des TLS Protokolls, die von Browsern und Clients unterstützt wird, die nach 2010 veröffentlicht wurden. Wenn Sie CloudFront die Konfiguration für die HTTPS Bearbeitung von Anfragen mithilfe CloudFront vonSNI, verknüpfen Sie Ihren alternativen Domänennamen mit einer IP-Adresse für jeden Edge-Standort. Wenn ein Zuschauer eine HTTPS Anfrage für Ihre Inhalte sendet, DNS leitet er die Anfrage an die IP-Adresse für den richtigen Edge-Standort weiter. Die IP-Adresse Ihres Domainnamens wird während der SSL TLS /-Handshake-Verhandlung festgelegt. Die IP-Adresse ist nicht für Ihren Vertrieb vorgesehen.

DieSSL/TLS-Verhandlung findet zu einem frühen Zeitpunkt des HTTPS Verbindungsaufbaus statt. Wenn nicht sofort festgestellt werden CloudFront kann, für welche Domain die Anfrage bestimmt ist, wird die Verbindung unterbrochen. Wenn ein Zuschauer, der Support SNI anbietet, eine HTTPS Anfrage für deine Inhalte einreicht, passiert Folgendes:

  1. Der Zuschauer erhält automatisch den Domainnamen aus der Anfrage URL und fügt ihn der SNI Erweiterung der TLS Client-Hello-Nachricht hinzu.

  2. Wenn der TLS Client die Hello-Nachricht CloudFront erhält, verwendet er den Domainnamen in der SNI Erweiterung, um die passende CloudFront Verteilung zu finden, und sendet das zugehörige TLS Zertifikat zurück.

  3. Der Zuschauer und CloudFront führen die SSL TLS Verhandlung durch.

  4. CloudFront gibt den angeforderten Inhalt an den Betrachter zurück.

Eine aktuelle Liste der Browser, die das unterstützenSNI, finden Sie im Wikipedia-Eintrag Server Name Indication.

Wenn Sie verwenden möchten, SNI aber einige Browser Ihrer Benutzer dies nicht unterstützenSNI, haben Sie mehrere Möglichkeiten:

  • Konfigurieren Sie CloudFront die Konfiguration so, dass HTTPS Anfragen stattdessen mit dedizierten IP-Adressen bearbeitet SNI werden. Weitere Informationen finden Sie unter Verwenden Sie eine dedizierte IP-Adresse, um HTTPS Anfragen zu bearbeiten (funktioniert für alle Clients).

  • Verwenden Sie das TLS Zertifikat CloudFront SSL/anstelle eines benutzerdefinierten Zertifikats. Dies erfordert, dass Sie den CloudFront Domainnamen für Ihre Distribution in der URLs für Ihre Dateien verwenden, zum Beispielhttps://d111111abcdef8.cloudfront.net/logo.png.

    Wenn Sie das CloudFront Standardzertifikat verwenden, müssen die Zuschauer das SSL Protokoll TLSv1 oder eine neuere Version unterstützen. CloudFront wird SSLv3 mit dem CloudFront Standardzertifikat nicht unterstützt.

    Sie müssen auch das verwendete SSL TLS /-Zertifikat von einem benutzerdefinierten Zertifikat auf das CloudFront Standardzertifikat ändern: CloudFront

  • Wenn Sie kontrollieren können, welchen Browser Ihre Benutzer verwenden, bitten Sie sie, ihren Browser auf einen Browser zu aktualisieren, der dies unterstütztSNI.

  • Verwenden Sie HTTP stattHTTPS.

Verwenden Sie eine dedizierte IP-Adresse, um HTTPS Anfragen zu bearbeiten (funktioniert für alle Clients)

Die Angabe des Servernamens (SNI) ist eine Möglichkeit, eine Anfrage einer Domain zuzuordnen. Eine weitere Möglichkeit ist die Verwendung einer dedizierten IP-Adresse. Wenn Sie Benutzer haben, die kein Upgrade auf einen Browser oder Client durchführen können, der nach 2010 veröffentlicht wurde, können Sie eine dedizierte IP-Adresse verwenden, um HTTPS Anfragen zu bearbeiten. Eine aktuelle Liste der Browser, die das unterstützenSNI, finden Sie im Wikipedia-Eintrag Server Name Indication.

Wichtig

Wenn Sie so konfigurieren CloudFront , dass HTTPS Anfragen über dedizierte IP-Adressen bedient werden, fällt eine zusätzliche monatliche Gebühr an. Die Gebühr beginnt, wenn Sie Ihr SSL TLS /-Zertifikat einer Distribution zuordnen und die Verteilung aktivieren. Weitere Informationen zur CloudFront Preisgestaltung finden Sie unter CloudFront Amazon-Preise. Zusätzliche, in diesem Zusammenhang interessante Details finden Sie unter Using the Same Certificate for Multiple CloudFront Distributions.

Wenn Sie so konfigurieren CloudFront , dass HTTPS Anfragen mithilfe von dedizierten IP-Adressen bearbeitet werden, CloudFront ordnet Sie Ihr Zertifikat an jedem CloudFront Edge-Standort einer dedizierten IP-Adresse zu. Wenn ein Zuschauer eine HTTPS Anfrage für deine Inhalte einreicht, passiert Folgendes:

  1. DNSleitet die Anfrage an die IP-Adresse für Ihre Distribution am entsprechenden Edge-Standort weiter.

  2. Wenn eine Client-Anfrage die SNI Erweiterung in der ClientHello Nachricht enthält, wird nach einer Distribution CloudFront gesucht, die dieser Erweiterung zugeordnet istSNI.

    • Wenn es eine Übereinstimmung gibt, wird CloudFront auf die Anfrage mit dem TLS ZertifikatSSL/geantwortet.

    • Wenn es keine Übereinstimmung gibt, CloudFront verwendet es stattdessen die IP-Adresse, um Ihre Distribution zu identifizieren und zu bestimmen, welches SSL TLS /-Zertifikat an den Betrachter zurückgegeben werden soll.

  3. Das Viewer- und CloudFront SSL/TLS negotiation using your SSL/TLS Perform-Zertifikat.

  4. CloudFront gibt den angeforderten Inhalt an den Betrachter zurück.

Diese Methode funktioniert für jede HTTPS Anfrage, unabhängig vom Browser oder einem anderen Viewer, den der Benutzer verwendet.

Anmerkung

Dedicated IPs sind nicht statisch IPs und können sich im Laufe der Zeit ändern. Die IP-Adresse, die für den Edge-Standort zurückgegeben wird, wird dynamisch aus den IP-Adressbereichen der CloudFront Edge-Serverliste zugewiesen.

Die IP-Adressbereiche für CloudFront Edge-Server können sich ändern. Um über Änderungen der IP-Adresse informiert zu werden, abonnieren Sie AWS Public IP Address Changes über Amazon SNS.

Beantragen Sie die Erlaubnis zur Verwendung von drei oder mehr dedizierten SSL TLS IP-/Zertifikaten

Wenn Sie die Erlaubnis benötigen, drei oder mehr SSL TLS /dedizierte IP-Zertifikate dauerhaft zuzuordnen CloudFront, gehen Sie wie folgt vor. Weitere Informationen zu HTTPS Anfragen finden Sie unterWählen Sie aus, wie Anfragen CloudFront bearbeitet werden HTTPS.

Anmerkung

Dieses Verfahren gilt für die Verwendung von drei oder mehr dedizierten IP-Zertifikaten in Ihren CloudFront Distributionen. Der Standardwert lautet 2. Beachten Sie, dass Sie nicht mehr als ein SSL Zertifikat an eine Distribution binden können.

Sie können einer CloudFront Distribution jeweils nur ein einzelnes SSL TLS /-Zertifikat zuordnen. Diese Zahl steht für die Gesamtzahl der dedizierten SSL IP-Zertifikate, die Sie in all Ihren CloudFront Distributionen verwenden können.

Um die Erlaubnis zur Verwendung von drei oder mehr Zertifikaten mit einer CloudFront Distribution zu beantragen

  1. Besuchen Sie das Support Center und erstellen Sie einen Fall.

  2. Geben Sie die Anzahl der Zertifikate an, die Sie benötigen, und beschreiben Sie die Umstände in Ihrer Beantragung. Wir werden Ihr Konto so bald wie möglich aktualisieren.

  3. Fahren Sie mit dem nächsten Schritt fort.