Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# HTTP 502-Statuscode (Bad Gateway)
<a name="http-502-bad-gateway"></a>

CloudFront gibt einen HTTP 502-Statuscode (Bad Gateway) zurück, wenn das angeforderte Objekt CloudFront nicht bedient werden konnte, weil es keine Verbindung zum Ursprungsserver herstellen konnte. 

Wenn Sie Lambda@Edge verwenden, ist das Problem möglicherweise ein Lambda-Validierungsfehler. Wenn Sie einen HTTP 502-Fehler mit dem `NonS3OriginDnsError` Fehlercode erhalten, liegt wahrscheinlich ein DNS-Konfigurationsproblem vor, das CloudFront verhindert, dass eine Verbindung zum Ursprung hergestellt werden kann.

**Topics**
+ [Fehler bei der SSL/TLS-Aushandlung zwischen CloudFront und einem benutzerdefinierten Ursprungsserver](#ssl-negotitation-failure)
+ [Ursprungsserver ist über die unterstützten Verschlüsselungsverfahren/Protokolle nicht erreichbar](#origin-not-responding-with-supported-ciphers-protocols)
+ [SSL-/TLS-Zertifikat auf dem Ursprungsserver ist abgelaufen, ungültig oder selbstsigniert oder die Zertifikatkette weist die falsche Reihenfolge auf](#ssl-certificate-expired)
+ [Ursprungsserver ist über die eingestellten Ports in den Ursprungseinstellungen nicht erreichbar](#origin-not-responding-on-specified-ports)
+ [Lambda-Validierungsfehler](#http-502-lambda-validation-error)
+ [CloudFront Fehler bei der Funktionsvalidierung](#http-502-cloudfront-function-validation-error)
+ [DNS-Fehler (`NonS3OriginDnsError`)](#http-502-dns-error)
+ [502-Fehler des als Ursprung verwendeten Application Load Balancer](#cloudfront-alb-502-error)
+ [API Gateway Ursprung 502-Fehler](#cloudfront-api-gateway-502-error)

## Fehler bei der SSL/TLS-Aushandlung zwischen CloudFront und einem benutzerdefinierten Ursprungsserver
<a name="ssl-negotitation-failure"></a>

Wenn Sie einen benutzerdefinierten Ursprung verwenden, der HTTPS zwischen CloudFront und Ihrem Ursprung erfordert, können nicht übereinstimmende Domainnamen zu Fehlern führen. Das SSL/TLS Zertifikat für Ihren Ursprung *muss* einen Domainnamen enthalten, der entweder mit der **Ursprungsdomain**, die Sie für den CloudFront Vertrieb angegeben haben, oder mit dem `Host` Header der Ursprungsanfrage übereinstimmt.

Wenn die Domainnamen nicht übereinstimmen, schlägt der SSL/TLS Handshake fehl und es wird der HTTP-Statuscode 502 (Bad Gateway) CloudFront zurückgegeben und der `X-Cache` Header auf `Error from cloudfront` gesetzt.

Sie können bestimmen, ob die Domainnamen im Zertifikat der **Ursprungsdomain** in der Distribution oder dem `Host`-Header entsprechen, indem Sie eine Online-SSL-Prüfung vornehmen oder OpenSSL verwenden. Wenn die Domain-Namen nicht übereinstimmen, haben Sie zwei Optionen:
+ Besorgen Sie sich ein neues SSL/TLS Zertifikat, das die entsprechenden Domainnamen enthält. 

  Wenn Sie AWS Certificate Manager (ACM) verwenden, finden Sie im *AWS Certificate Manager Benutzerhandbuch* unter [Anfordern eines öffentlichen Zertifikats](https://docs.aws.amazon.com/acm/latest/userguide/gs-acm-request-public.html) Informationen zum Anfordern eines neuen Zertifikats.
+ Ändern Sie die Verteilungskonfiguration, sodass nicht CloudFront mehr versucht wird, SSL für die Verbindung mit Ihrem Ursprung zu verwenden.

### Online-SSL-Prüfung
<a name="troubleshooting-ssl-negotiation-failure-online-ssl-checker"></a>

Sie finden ein Test-Tool für SSL-Verbindungen, indem Sie im Internet nach den Begriffen "online ssl checker" suchen. In der Regel geben Sie den Namen Ihrer Domain an, und das Tool gibt eine Vielzahl von Informationen zu Ihrem SSL/TLS Zertifikat zurück. Vergewissern Sie sich, dass das Zertifikat Ihren Domänennamen aus den Feldern **Allgemeiner Name** oder **Alternative Antragstellernamen** enthält.

### OpenSSL
<a name="troubleshooting-ssl-negotiation-failure-openssl"></a>

Um HTTP 502-Fehler von zu beheben CloudFront, können Sie OpenSSL verwenden, um zu versuchen, eine SSL/TLS Verbindung zu Ihrem Ursprungsserver herzustellen. Wenn OpenSSL keine Verbindung herstellen kann, kann dies auf ein Problem mit der SSL/TLS-Konfiguration Ihres Ursprungsservers hinweisen. Wenn OpenSSL eine Verbindung herstellen kann, gibt es Informationen über das Zertifikat des Ursprungsservers zurück, einschließlich des allgemeinen Namens (Feld `Subject CN`) des Zertifikats und des alternativen Antragstellernamens (Feld `Subject Alternative Name`).

Verwenden Sie den folgenden OpenSSL-Befehl, um die Verbindung zu Ihrem Ursprungsserver zu testen (*origin domain*ersetzen Sie ihn durch den Domainnamen Ihres Ursprungsservers, z. B. example.com):

`openssl s_client -connect origin domain name:443`

Wenn Folgendes zutrifft:
+ Ihr Ursprungsserver unterstützt mehrere Domänennamen mit mehreren SSL/TLS-Zertifikaten.
+ Ihre Distribution ist so konfiguriert, dass der `Host`-Header an den Ursprung weitergeleitet wird.

Fügen Sie dann die `-servername` Option wie im folgenden Beispiel zum OpenSSL-Befehl hinzu (*CNAME*ersetzen Sie sie durch den CNAME, der in Ihrer Distribution konfiguriert ist):

`openssl s_client -connect origin domain name:443 -servername CNAME`

## Ursprungsserver ist über die unterstützten Verschlüsselungsverfahren/Protokolle nicht erreichbar
<a name="origin-not-responding-with-supported-ciphers-protocols"></a>

CloudFront stellt mithilfe von Chiffren und Protokollen eine Verbindung zu Originalservern her. Eine Liste der Verschlüsselungen und Protokolle, die unterstützt werden, CloudFront finden Sie unter. [Unterstützte Protokolle und Chiffren zwischen und dem Ursprung CloudFront](secure-connections-supported-ciphers-cloudfront-to-origin.md) Wenn Ihr Absender nicht mit einer dieser Chiffren oder Protokolle im SSL/TLS-Austausch antwortet, schlägt die Verbindung fehl. CloudFront Sie können überprüfen, ob Ihr Ursprungsserver diese Verschlüsselungsverfahren und Protokolle unterstützt, indem Sie ein Online-Tool wie [SSL-Labs](https://www.ssllabs.com/ssltest) verwenden. Geben Sie den Domain-Namen Ihres Ursprungs-Servers in das Feld **Hostname** ein und wählen Sie anschließend **OK** aus. Überprüfen Sie die Felder **Common names** (Allgemeine Namen) und **Alternative names** (Alternative Namen) in dem Test; entspricht ihr Inhalt dem Domain-Namen Ihres Ursprungs-Servers? Nachdem der Test beendet ist, suchen Sie die Abschnitte **Protocols** und **Cipher Suites** in den Testergebnissen; welche Verschlüsselungsverfahren oder Protokolle werden von Ihrem Ursprungs-Server unterstützt? Vergleichen Sie die Produkte mit der Liste von [Unterstützte Protokolle und Chiffren zwischen und dem Ursprung CloudFront](secure-connections-supported-ciphers-cloudfront-to-origin.md).

## SSL-/TLS-Zertifikat auf dem Ursprungsserver ist abgelaufen, ungültig oder selbstsigniert oder die Zertifikatkette weist die falsche Reihenfolge auf
<a name="ssl-certificate-expired"></a>

Wenn der Ursprungsserver Folgendes zurückgibt, CloudFront bricht er die TCP-Verbindung ab, gibt den HTTP-Statuscode 502 (Bad Gateway) zurück und setzt den Header auf: `X-Cache` `Error from cloudfront`
+ Abgelaufenes Zertifikat
+ Ungültiges Zertifikat
+ Selbstsigniertes Zertifikat
+ Zertifikatkette in der falschen Reihenfolge

**Anmerkung**  
Wenn die gesamte Zertifikatskette, einschließlich des Zwischenzertifikats, nicht vorhanden ist, wird CloudFront die TCP-Verbindung unterbrochen.

Hinweise zur Installation eines SSL/TLS Zertifikats auf Ihrem benutzerdefinierten Ursprungsserver finden Sie unter[Erfordern Sie HTTPS für die Kommunikation zwischen CloudFront und Ihrem benutzerdefinierten Ursprung](using-https-cloudfront-to-custom-origin.md).

## Ursprungsserver ist über die eingestellten Ports in den Ursprungseinstellungen nicht erreichbar
<a name="origin-not-responding-on-specified-ports"></a>

Wenn Sie in Ihrer CloudFront Distribution einen Ursprung erstellen, können Sie die Ports festlegen, über die eine CloudFront Verbindung zum Ursprung für HTTP- und HTTPS-Verkehr hergestellt wird. Standardmäßig sind das die TCP-Ports 80 und 443. Sie haben die Möglichkeit, diese Ports zu ändern. Wenn Ihr Absender den Datenverkehr auf diesen Ports aus irgendeinem Grund ablehnt oder wenn Ihr Backend-Server nicht auf die Ports reagiert, kann keine Verbindung CloudFront hergestellt werden.

Sie können diese Probleme zu beheben, indem Sie alle Firewalls überprüfen, die in Ihrer Infrastruktur ausgeführt werden, und sich vergewissern, dass sie die unterstützten IP-Bereiche nicht blockieren. Weitere Informationen finden Sie unter [AWS -IP-Adressbereiche](https://docs.aws.amazon.com/vpc/latest/userguide/aws-ip-ranges.html) im *Benutzerhandbuch für Amazon VPC*. Überprüfen Sie außerdem, ob Ihr Webserver auf dem Ursprungsserver ausgeführt wird.

## Lambda-Validierungsfehler
<a name="http-502-lambda-validation-error"></a>

Wenn Sie Lambda@Edge verwenden, kann der HTTP-Statuscode 502 anzeigen, dass Ihre Lambda-Funktionsantwort falsch gebildet wurde oder ungültigen Inhalt enthielt. Weitere Informationen zur Behebung von Lambda@Edge-Fehlern finden Sie unter [Testen und Debuggen von Lambda@Edge-Funktionen](lambda-edge-testing-debugging.md).

## CloudFront Fehler bei der Funktionsvalidierung
<a name="http-502-cloudfront-function-validation-error"></a>

Wenn Sie CloudFront Funktionen verwenden, kann ein HTTP-502-Statuscode darauf hinweisen, dass die CloudFront Funktion versucht, einen schreibgeschützten Header hinzuzufügen, zu löschen oder zu ändern. Dieser Fehler tritt beim Testen nicht auf, sondern erst, nachdem Sie die Funktion bereitgestellt und die Anforderung ausgeführt haben. Um diesen Fehler zu beheben, überprüfen und aktualisieren Sie Ihre CloudFront Funktion. Weitere Informationen finden Sie unter [Aktualisieren von Funktionen](update-function.md).

## DNS-Fehler (`NonS3OriginDnsError`)
<a name="http-502-dns-error"></a>

Ein HTTP 502-Fehler mit dem `NonS3OriginDnsError` Fehlercode weist auf ein DNS-Konfigurationsproblem hin, das CloudFront verhindert, dass eine Verbindung zum Ursprung hergestellt werden kann. Wenn Sie diesen Fehler von erhalten CloudFront, stellen Sie sicher, dass die DNS-Konfiguration des Ursprungs korrekt ist und funktioniert.

Wenn es eine Anfrage für ein Objekt CloudFront erhält, das abgelaufen ist oder sich nicht in seinem Cache befindet, sendet es eine Anfrage an den Ursprung, um das Objekt abzurufen. Um eine erfolgreiche Anfrage an den Ursprung zu stellen, CloudFront führt eine DNS-Auflösung in der Ursprungsdomäne durch. Wenn beim DNS-Dienst für Ihre Domain Probleme auftreten, CloudFront kann der Domainname nicht aufgelöst werden, um die IP-Adresse abzurufen, was zu einem HTTP 502-Fehler (`NonS3OriginDnsError`) führt. Sie können dieses Problem beheben, indem Sie sich an Ihren DNS-Anbieter wenden. Wenn Sie Amazon Route 53 verwenden, finden Sie weitere Informationen unter [Warum kann ich nicht auf meine Website zugreifen, die Route-53-DNS-Services verwendet?](https://aws.amazon.com/premiumsupport/knowledge-center/route-53-dns-website-unreachable/)

Sie können dieses Problem weiterhin beheben, indem Sie sicherstellen, dass die [autoritativen Name-Server](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/route-53-concepts.html#route-53-concepts-authoritative-name-server) für die Stamm-Domäne bzw. den Zone Apex (z. B. `example.com`) Ihres Ursprungs-Servers richtig funktionieren. Sie können die folgenden Befehle verwenden, um die Nameserver für Ihren Ursprungsserver-Apex zu finden, zum Beispiel mit einem Tool wie [dig](https://en.wikipedia.org/wiki/Dig_(command)) oder [nslookup](https://en.wikipedia.org/wiki/Nslookup):

```
dig OriginAPEXDomainName NS +short
```

```
nslookup -query=NS OriginAPEXDomainName
```

Wenn Sie die Namen Ihrer Name-Server erhalten haben, verwenden Sie die folgenden Befehle, um den Domain-Namen Ihres Ursprungsservers von ihnen abzufragen; so können Sie sicherstellen, dass alle eine Antwort zurückgeben:

```
dig OriginDomainName @NameServer
```

```
nslookup OriginDomainName NameServer
```

**Wichtig**  
Stellen Sie sicher, dass Sie diese DNS-Fehlerbehebung auf einem Computer durchführen, der mit dem öffentlichen Internet verbunden ist. CloudFront löst die Ursprungsdomäne mithilfe von öffentlichem DNS im Internet auf. Daher ist es wichtig, die Fehlerbehebung in einem ähnlichen Kontext durchzuführen.

Wenn der Ursprung eine Subdomäne ist, deren DNS-Berechtigung an einen anderen Nameserver als die Stammdomäne delegiert ist, stellen Sie sicher, dass die Datensätze für den Nameserver (`NS`) und Autoritätsursprung (`SOA`) für die Subdomäne korrekt konfiguriert sind. Sie können mit Befehlen, die den vorherigen Beispielen ähneln, nach diesen Datensätzen suchen.

Weitere Informationen zu DNS finden Sie unter [DNS-Konzepte (Domain Name System)](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/route-53-concepts.html#route-53-concepts-domain-name-system-dns) in der Dokumentation zu Amazon Route 53.

## 502-Fehler des als Ursprung verwendeten Application Load Balancer
<a name="cloudfront-alb-502-error"></a>

Wenn Sie Application Load Balancer als Ursprung verwenden und einen 502-Fehler erhalten, finden Sie weitere Informationen unter [Wie behebe ich den HTTP-Fehler 502 des Application Load Balancer?](https://repost.aws/knowledge-center/elb-alb-troubleshoot-502-errors)

## API Gateway Ursprung 502-Fehler
<a name="cloudfront-api-gateway-502-error"></a>

Wenn Sie API Gateway verwenden und einen 502-Fehler erhalten, finden Sie weitere Informationen unter [Wie behebe ich HTTP 502-Fehler von API Gateway REST APIs mit Lambda-Proxyintegration](https://repost.aws/knowledge-center/malformed-502-api-gateway)? .