Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Verwenden von alternativen Domainnamen und HTTPS
Wenn Sie Ihren eigenen Domainnamen URLs für Ihre Dateien verwenden möchten (z. B.`https://www.example.com/image.jpg`) und Sie möchten, dass Ihre Zuschauer HTTPS verwenden, müssen Sie die Schritte in den folgenden Themen ausführen. (Wenn Sie beispielsweise den CloudFront Standard-Vertriebsdomänennamen in Ihrem URLs verwenden`https://d111111abcdef8.cloudfront.net/image.jpg`, folgen Sie stattdessen den Anweisungen im folgenden Thema:[Erfordert HTTPS für die Kommunikation zwischen Zuschauern und CloudFront](using-https-viewers-to-cloudfront.md).)
**Wichtig**
Wenn Sie Ihrer Distribution ein Zertifikat hinzufügen, wird das Zertifikat CloudFront sofort an alle Edge-Standorte weitergegeben. Sobald neue Edge-Standorte verfügbar sind, wird das Zertifikat von CloudFront auch an diese Standorte verteilt. Sie können die Edge-Standorte, an die die CloudFront Zertifikate weitergegeben werden, nicht einschränken.
**Topics**
+ [
# Wählen Sie aus, wie CloudFront HTTPS-Anfragen bearbeitet werden
](cnames-https-dedicated-ip-or-sni.md)
+ [
# Anforderungen für die Verwendung von SSL/TLS Zertifikaten mit CloudFront
](cnames-and-https-requirements.md)
+ [
# Kontingente für die Verwendung von SSL/TLS Zertifikaten mit CloudFront (HTTPS nur zwischen Zuschauern und CloudFront nur)
](cnames-and-https-limits.md)
+ [
# Konfigurieren alternativer Domainnamen und HTTPS
](cnames-and-https-procedures.md)
+ [
# Ermitteln Sie die Größe des öffentlichen Schlüssels in einem SSL/TLS RSA-Zertifikat
](cnames-and-https-size-of-public-key.md)
+ [
# Erhöhen der Kontingente für SSL-/TLS-Zertifikate
](increasing-the-limit-for-ssl-tls-certificates.md)
+ [
# SSL/TLS Zertifikate rotieren
](cnames-and-https-rotate-certificates.md)
+ [
# Kehren Sie von einem benutzerdefinierten SSL/TLS-Zertifikat zum Standardzertifikat zurück CloudFront
](cnames-and-https-revert-to-cf-certificate.md)
+ [
# Wechsel von einem benutzerdefinierten SSL-/TLS-Zertifikat mit dedizierten IP-Adressen zu SNI
](cnames-and-https-switch-dedicated-to-sni.md)
# Wählen Sie aus, wie CloudFront HTTPS-Anfragen bearbeitet werden
Wenn Sie möchten, dass Ihre Zuschauer HTTPS und alternative Domainnamen für Ihre Dateien verwenden, wählen Sie eine der folgenden Optionen für die Bearbeitung von CloudFront HTTPS-Anfragen:
+ Verwenden der [Servernamensanzeige](https://en.wikipedia.org/wiki/Server_Name_Indication) (Server Name Indication, SNI) – Empfohlen
+ Verwenden einer dedizierten IP-Adresse an jedem Edge-Standort
In diesem Abschnitt wird erläutert, wie beide Optionen funktionieren.
## Verwenden von SNI für die Beantwortung von HTTPS-Anforderungen (funktioniert für die meisten Clients)
Die [Servernamensanzeige](https://en.wikipedia.org/wiki/Server_Name_Indication) (SNI) ist eine Erweiterung des TLS-Protokolls, die in Browsern und Clients unterstützt wird, die nach 2010 veröffentlicht wurden. Wenn Sie so konfigurieren CloudFront , dass HTTPS-Anfragen über SNI bedient werden CloudFront , verknüpfen Sie Ihren alternativen Domainnamen mit einer IP-Adresse für jeden Edge-Standort. Sobald ein Viewer Inhalte von Ihnen durch Senden einer HTTPS-Anforderung abruft, leitet DNS die Anforderung an die IP-Adresse des korrekten Edge-Standorts weiter. Die IP-Adresse Ihres Domainnamens wird während der SSL/TLS Handshake-Verhandlung festgelegt. Die IP-Adresse ist nicht für Ihre Distribution reserviert.
Die SSL/TLS Verhandlung findet zu einem frühen Zeitpunkt des Aufbaus einer HTTPS-Verbindung statt. Wenn nicht sofort festgestellt werden CloudFront kann, für welche Domain die Anfrage bestimmt ist, wird die Verbindung unterbrochen. Sobald ein Viewer, der SNI unterstützt, eine HTTPS-Anforderung zwecks Abrufs Ihrer Inhalte sendet, geschieht Folgendes:
1. Der Viewer erhält automatisch den Domainnamen aus der Anforderungs-URL und fügt ihn der SNI-Erweiterung der TLS-ClientHello-Nachricht hinzu.
1. Wenn der TLS-Client Hello CloudFront empfängt, verwendet er den Domainnamen in der SNI-Erweiterung, um die passende CloudFront Distribution zu finden, und sendet das zugehörige TLS-Zertifikat zurück.
1. Der Zuschauer und CloudFront führen die SSL/TLS Verhandlung durch.
1. CloudFront gibt den angeforderten Inhalt an den Betrachter zurück.
Eine aktuelle Liste der Browser, die SNI unterstützen, finden Sie im Wikipedia-Eintrag [Server Name Indication](https://en.wikipedia.org/wiki/Server_Name_Indication).
Wenn Sie SNI nutzen möchten, jedoch einige Ihrer Benutzer Browser verwenden, die SNI nicht unterstützen, haben Sie mehrere Möglichkeiten:
+ Konfigurieren Sie CloudFront die Konfiguration für die Bearbeitung von HTTPS-Anfragen mithilfe von dedizierten IP-Adressen anstelle von SNI. Weitere Informationen finden Sie unter [Verwenden dedizierter IP-Adressen für die Beantwortung von HTTPS-Anforderungen (funktioniert für alle Clients)](#cnames-https-dedicated-ip).
+ Verwenden Sie das CloudFront SSL/TLS-Zertifikat anstelle eines benutzerdefinierten Zertifikats. Dies erfordert, dass Sie den CloudFront Domainnamen für Ihre Distribution in der URLs für Ihre Dateien verwenden, zum Beispiel. `https://d111111abcdef8.cloudfront.net/logo.png`
Wenn Sie das CloudFront Standardzertifikat verwenden, müssen die Zuschauer das SSL-Protokoll TLSv1 oder eine neuere Version unterstützen. CloudFront wird SSLv3 mit dem CloudFront Standardzertifikat nicht unterstützt.
Sie müssen auch das verwendete SSL/TLS Zertifikat von einem benutzerdefinierten Zertifikat auf das CloudFront Standardzertifikat ändern: CloudFront
+ Wenn Sie Ihre Distribution noch nicht zur Distribution Ihrer Inhalte genutzt haben, können Sie einfach die Konfiguration ändern. Weitere Informationen finden Sie unter [Eine Verteilung aktualisieren](HowToUpdateDistribution.md).
+ Wenn Sie Ihre Inhalte über Ihre Distribution verteilt haben, müssen Sie eine neue CloudFront Distribution erstellen und die Einstellungen URLs für Ihre Dateien ändern, um die Zeit, in der Ihre Inhalte nicht verfügbar sind, zu verringern oder zu vermeiden. Weitere Informationen finden Sie unter [Kehren Sie von einem benutzerdefinierten SSL/TLS-Zertifikat zum Standardzertifikat zurück CloudFront](cnames-and-https-revert-to-cf-certificate.md).
+ Wenn Sie Einfluss darauf haben, welche Browser Ihre Benutzer verwenden, können Sie veranlassen, dass sie ihre Browser auf eine Version aktualisieren, die SNI unterstützt.
+ Verwenden Sie HTTP anstelle von HTTPS.
## Verwenden dedizierter IP-Adressen für die Beantwortung von HTTPS-Anforderungen (funktioniert für alle Clients)
Die Servernamensanzeige (SNI) ist eine Möglichkeit, eine Anforderung mit einer Domäne zu verknüpfen. Eine weitere Möglichkeit ist die Verwendung einer dedizierten IP-Adresse. Wenn Sie Benutzer haben, die nicht zu einem Browser oder Client wechseln können, der nach 2010 veröffentlicht wurde, können Sie eine dedizierte IP-Adresse für die Bedienung von HTTPS-Anforderungen verwenden. Eine aktuelle Liste der Browser, die SNI unterstützen, finden Sie im Wikipedia-Eintrag [Server Name Indication](https://en.wikipedia.org/wiki/Server_Name_Indication).
**Wichtig**
Wenn Sie so konfigurieren CloudFront , dass HTTPS-Anfragen über dedizierte IP-Adressen bedient werden, fällt eine zusätzliche monatliche Gebühr an. Die Gebühr beginnt, wenn Sie Ihr SSL/TLS Zertifikat einer Distribution zuordnen und die Verteilung aktivieren. Weitere Informationen zur CloudFront Preisgestaltung finden Sie unter [ CloudFront Amazon-Preise](https://aws.amazon.com/cloudfront/pricing). Zusätzliche, in diesem Zusammenhang interessante Details finden Sie unter [Using the Same Certificate for Multiple CloudFront Distributions](cnames-and-https-limits.md#cnames-and-https-same-certificate-multiple-distributions).
Wenn Sie so konfigurieren CloudFront , dass HTTPS-Anfragen mithilfe von dedizierten IP-Adressen bearbeitet werden CloudFront, ordnen Sie Ihr Zertifikat an jedem CloudFront Edge-Standort einer dedizierten IP-Adresse zu. Sobald ein Viewer eine HTTPS-Anforderung zwecks Abrufs Ihrer Inhalte sendet, geschieht Folgendes:
1. DNS leitet die Anforderung an die IP-Adresse Ihrer Distribution am jeweils zuständigen Edge-Standort weiter.
1. Wenn eine Client-Anfrage die SNI-Erweiterung in der `ClientHello` Nachricht enthält, wird nach einer Distribution CloudFront gesucht, die diesem SNI zugeordnet ist.
+ Wenn es eine Übereinstimmung gibt, CloudFront beantwortet die Anfrage mit dem SSL/TLS-Zertifikat.
+ Wenn es keine Übereinstimmung gibt, CloudFront wird stattdessen die IP-Adresse verwendet, um Ihre Distribution zu identifizieren und zu bestimmen, welches SSL/TLS-Zertifikat an den Betrachter zurückgegeben werden soll.
1. Der Betrachter und CloudFront führen die SSL/TLS Verhandlung mithilfe Ihres SSL/TLS-Zertifikats durch.
1. CloudFront gibt den angeforderten Inhalt an den Betrachter zurück.
Diese Methode funktioniert für jede HTTPS-Anforderung, unabhängig von dem Browser oder Viewer anderer Art, den der Benutzer verwendet.
**Anmerkung**
Dedicated IPs sind nicht statisch IPs und können sich im Laufe der Zeit ändern. Die IP-Adresse, die für den Edge-Standort zurückgegeben wird, wird dynamisch aus den IP-Adressbereichen der [CloudFront Edge-Serverliste](LocationsOfEdgeServers.md) zugewiesen.
Die IP-Adressbereiche für CloudFront Edge-Server können sich ändern. Um über Änderungen der IP-Adresse informiert [zu werden, abonnieren Sie AWS Public IP Address Changes über Amazon SNS](https://aws.amazon.com/blogs/aws/subscribe-to-aws-public-ip-address-changes-via-amazon-sns/).
## Beantragen Sie die Erlaubnis zur Verwendung von drei oder mehr dedizierten IP-Zertifikaten SSL/TLS
Wenn Sie die Erlaubnis benötigen, drei oder mehr dedizierte SSL-/TLS-IP-Zertifikate dauerhaft zuzuordnen CloudFront, gehen Sie wie folgt vor. Weitere Informationen zu HTTPS-Anforderungen finden Sie unter [Wählen Sie aus, wie CloudFront HTTPS-Anfragen bearbeitet werden](#cnames-https-dedicated-ip-or-sni).
**Anmerkung**
Dieses Verfahren gilt für die Verwendung von drei oder mehr dedizierten IP-Zertifikaten in Ihren CloudFront Distributionen. Der Standardwert lautet 2. Beachten Sie, dass Sie nicht mehr als ein SSL-Zertifikat an eine Distribution binden können.
Sie können einer CloudFront Distribution jeweils nur ein einziges SSL/TLS Zertifikat zuordnen. Diese Zahl steht für die Gesamtzahl der dedizierten IP-SSL-Zertifikate, die Sie in all Ihren CloudFront Distributionen verwenden können.
**So beantragen Sie eine Berechtigung zur Verwendung von drei oder mehr Zertifikaten mit einer CloudFront-Verteilung:**
1. Besuchen Sie das [Support Center](https://console.aws.amazon.com/support/home?#/case/create?issueType=service-limit-increase&limitType=service-code-cloudfront-distributions) und erstellen Sie einen Fall.
1. Geben Sie die Anzahl der Zertifikate an, die Sie benötigen, und beschreiben Sie die Umstände in Ihrer Beantragung. Wir werden Ihr Konto so bald wie möglich aktualisieren.
1. Fahren Sie mit dem nächsten Schritt fort.
# Anforderungen für die Verwendung von SSL/TLS Zertifikaten mit CloudFront
Die Anforderungen für SSL/TLS Zertifikate werden in diesem Thema beschrieben. Sie gelten, sofern nicht anders vermerkt, für die beiden folgenden Elemente:
+ Zertifikate für die Verwendung von HTTPS zwischen Zuschauern und CloudFront
+ Zertifikate für die Verwendung von HTTPS zwischen CloudFront und Ihrer Herkunft
**Topics**
+ [
## Zertifikataussteller
](#https-requirements-certificate-issuer)
+ [
## AWS-Region für AWS Certificate Manager
](#https-requirements-aws-region)
+ [
## Zertifikatformat
](#https-requirements-certificate-format)
+ [
## Zwischenzertifikate
](#https-requirements-intermediate-certificates)
+ [
## Schlüsseltyp
](#https-requirements-key-type)
+ [
## Privater Schlüssel
](#https-requirements-private-key)
+ [
## Berechtigungen
](#https-requirements-permissions)
+ [
## Länge des Zertifikatschlüssels
](#https-requirements-size-of-public-key)
+ [
## Unterstützte Typen von Zertifikaten
](#https-requirements-supported-types)
+ [
## Ablaufdatum des Zertifikats und Zertifikaterneuerung
](#https-requirements-cert-expiration)
+ [
## Domainnamen in der CloudFront Distribution und im Zertifikat
](#https-requirements-domain-names-in-cert)
+ [
## Minimale SSL/TLS Protokollversion
](#https-requirements-minimum-ssl-protocol-version)
+ [
## Unterstützte HTTP-Versionen
](#https-requirements-supported-http-versions)
## Zertifikataussteller
Wir empfehlen, ein öffentliches Zertifikat zu verwenden, das von [AWS Certificate Manager (ACM)](https://aws.amazon.com/certificate-manager/) ausgestellt wurde. Weitere Informationen zu ACM finden Sie im *[AWS Certificate Manager -Benutzerhandbuch](https://docs.aws.amazon.com/acm/latest/userguide/)*. Um ein ACM-Zertifikat mit einer CloudFront Distribution zu verwenden, stellen Sie sicher, dass Sie das Zertifikat in der Region USA Ost (Nord-Virginia) anfordern () (`us-east-1`).
CloudFront unterstützt dieselben Zertifizierungsstellen (CAs) wie Mozilla. Wenn Sie ACM also nicht verwenden, verwenden Sie ein Zertifikat, das von einer Zertifizierungsstelle ausgestellt wurde, die auf der [Mozilla Included CA Certificate List steht](https://wiki.mozilla.org/CA/Included_Certificates).
TLS-Zertifikate, die von der Quelle verwendet werden, die Sie für Ihre CloudFront Distribution angegeben haben, müssen auch von der Zertifizierungsstelle ausgestellt werden, die in der Mozilla Included CA Certificate List aufgeführt ist.
Weitere Informationen zum Abrufen und Installieren eines Zertifikats finden Sie in der Dokumentation zu Ihrer HTTP-Server-Software und der Dokumentation, die von der Zertifizierungsstelle bereitgestellt wird.
## AWS-Region für AWS Certificate Manager
Um ein Zertifikat in AWS Certificate Manager (ACM) zu verwenden, das HTTPS zwischen Zuschauern und erfordertCloudFront, stellen Sie sicher, dass Sie das Zertifikat in der Region USA Ost (Nord-Virginia) anfordern (`us-east-1`).
Wenn Sie HTTPS zwischen CloudFront und Ihrem Ursprung benötigen und einen Load Balancer in Elastic Load Balancing als Ursprung verwenden, können Sie das Zertifikat in einem beliebigen AWS-Region Format anfordern oder importieren.
## Zertifikatformat
Das Zertifikat muss das Format X.509 PEM aufweisen. Dies ist das Standardformat bei der Verwendung von AWS Certificate Manager.
## Zwischenzertifikate
Wenn Sie eine Drittanbieter-Zertifizierungsstelle (CA) verwenden, müssen alle Zwischenzertifikate in der Zertifikatkette aufgelistet sein, die sich in der Datei `.pem` befinden, beginnend mit einem Zwischenzertifikat für die Zertifizierungsstelle, die das Zertifikat für Ihre Domäne signiert hat. In der Regel finden Sie eine Datei auf der Website der Zertifizierungsstelle, in der die Zwischen- und Stammzertifikate in der richtigen Reihenfolge aufgelistet sind.
**Wichtig**
Fügen Sie Folgendes nicht hinzu: das Stammzertifikat, Zwischenzertifikate, die sich nicht im Vertrauenspfad befinden, und das Public-Key-Zertifikat Ihrer CA.
Ein Beispiel:
```
-----BEGIN CERTIFICATE-----
Intermediate certificate 2
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Intermediate certificate 1
-----END CERTIFICATE-----
```
## Schlüsseltyp
CloudFront unterstützt öffentlich-private RSA- und ECDSA-Schlüsselpaare.
CloudFront unterstützt mithilfe von RSA- und ECDSA-Zertifikaten HTTPS-Verbindungen sowohl zu Viewern als auch zu Ursprüngen. Mit [AWS Certificate Manager (ACM)](https://console.aws.amazon.com/acm) können Sie RSA- oder ECDSA-Zertifikate anfordern und importieren und sie dann Ihrer Distribution zuordnen. CloudFront
Eine Liste der RSA- und ECDSA-Chiffren, die Sie in HTTPS-Verbindungen aushandeln können CloudFront , finden Sie unter und. [Unterstützte Protokolle und Chiffren zwischen Zuschauern und CloudFront](secure-connections-supported-viewer-protocols-ciphers.md) [Unterstützte Protokolle und Chiffren zwischen und dem Ursprung CloudFront](secure-connections-supported-ciphers-cloudfront-to-origin.md)
## Privater Schlüssel
Bei Verwendung eines Zertifikats von einer Drittanbieter-Zertifizierungsstelle sind folgende Punkte zu beachten:
+ Der private Schlüssel muss dem öffentlichen Schlüssel des Zertifikats entsprechen.
+ Der private Schlüssel muss im PEM-Format vorliegen.
+ Der private Schlüssel kann nicht mit einem Passwort verschlüsselt werden.
Wenn AWS Certificate Manager (ACM) das Zertifikat bereitgestellt hat, gibt ACM den privaten Schlüssel nicht frei. Der private Schlüssel wird in ACM gespeichert und kann von AWS Diensten verwendet werden, die in ACM integriert sind.
## Berechtigungen
Sie benötigen die Erlaubnis, das Zertifikat zu verwenden und zu importieren. SSL/TLS Wenn Sie AWS Certificate Manager (ACM) verwenden, empfehlen wir, dass Sie AWS Identity and Access Management Berechtigungen verwenden, um den Zugriff auf die Zertifikate einzuschränken. Weitere Informationen finden Sie unter [Identity and Access Management](https://docs.aws.amazon.com/acm/latest/userguide/security-iam.html) im *AWS Certificate Manager -Benutzerhandbuch*.
## Länge des Zertifikatschlüssels
Die Größe des CloudFront unterstützten Zertifikatsschlüssels hängt von der Art des Schlüssels und des Zertifikats ab.
**Für RSA-Zertifikate:**
CloudFront unterstützt 1024-Bit-, 2048-Bit-, 3072-Bit- und 4096-Bit-RSA-Schlüssel. Die maximale Schlüssellänge für ein RSA-Zertifikat, das Sie mit verwenden, beträgt 4096 Bit. CloudFront
Beachten Sie, dass ACM RSA-Zertifikate mit bis zu 2048-Bit-Schlüsseln ausstellt. Um ein 3072-Bit- oder 4096-Bit-RSA-Zertifikat zu verwenden, müssen Sie das Zertifikat extern beziehen und in ACM importieren. Danach steht es Ihnen zur Verwendung zur Verfügung. CloudFront
Informationen zum Ermitteln der Länge des RSA-Schlüssels finden Sie unter [Ermitteln Sie die Größe des öffentlichen Schlüssels in einem SSL/TLS RSA-Zertifikat](cnames-and-https-size-of-public-key.md).
**Für ECDSA-Zertifikate:**
CloudFront unterstützt 256-Bit-Schlüssel. Um ein ECDSA-Zertifikat in ACM zu verwenden, das HTTPS zwischen Zuschauern und erfordert, verwenden Sie die elliptische CloudFront Prime256v1-Kurve.
## Unterstützte Typen von Zertifikaten
CloudFront unterstützt alle Arten von Zertifikaten, die von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurden.
## Ablaufdatum des Zertifikats und Zertifikaterneuerung
Wenn Sie Zertifikate verwenden, die Sie von einer Zertifizierungsstelle (CA) eines Drittanbieters erhalten, müssen Sie die Ablaufdaten der Zertifikate überwachen und die Zertifikate, die Sie in AWS Certificate Manager (ACM) importieren oder in den AWS Identity and Access Management Zertifikatsspeicher hochladen, erneuern, bevor sie ablaufen.
**Wichtig**
Probleme mit dem Ablauf von Zertifikaten vermeiden Sie, indem Sie Ihr Zertifikat mindestens 24 Stunden vor dem `NotAfter`-Wert Ihres aktuellen Zertifikats verlängern oder erneut importieren. Wenn Ihr Zertifikat innerhalb von 24 Stunden abläuft, fordern Sie ein neues Zertifikat von ACM an oder importieren Sie ein neues Zertifikat in ACM. Ordnen Sie als Nächstes das neue Zertifikat der CloudFront Distribution zu.
CloudFront verwendet möglicherweise weiterhin das vorherige Zertifikat, während Ihr Zertifikat erneuert oder erneut importiert wird. Dies ist ein asynchroner Vorgang, der bis zu 24 Stunden dauern kann, bis Ihre Änderungen CloudFront angezeigt werden.
Wenn Sie von ACM bereitgestellte Zertifikate verwenden, werden die Erneuerungen dieser Zertifikate von ACM verwaltet. Weitere Informationen finden Sie unter [Verwaltete Erneuerung](https://docs.aws.amazon.com/acm/latest/userguide/managed-renewal.html) im *AWS Certificate Manager -Benutzerhandbuch*.
## Domainnamen in der CloudFront Distribution und im Zertifikat
Wenn Sie einen benutzerdefinierten Ursprung verwenden, enthält das SSL/TLS Zertifikat für Ihren Ursprung einen Domainnamen im Feld **Common Name** und möglicherweise mehrere weitere im Feld **Subject Alternative Names**. (CloudFront unterstützt Platzhalterzeichen in Zertifikatsdomänennamen.)
Einer der Domänennamen im Zertifikat muss mit dem Domänennamen übereinstimmen, den Sie in „Origin Domain Name (Ursprungsdomänenname)“ angeben. Wenn kein Domainname übereinstimmt, wird der HTTP-Statuscode `502 (Bad Gateway)` an den Betrachter CloudFront zurückgegeben.
**Wichtig**
Wenn Sie einer Distribution einen alternativen Domainnamen hinzufügen, wird CloudFront überprüft, ob der alternative Domainname durch das Zertifikat abgedeckt ist, das Sie angehängt haben. Das Zertifikat muss den alternativen Domänennamen im Feld „Subject Alternate Name (SAN)“ des Zertifikats abdecken. Dies bedeutet, dass das SAN-Feld eine exakte Übereinstimmung mit dem alternativen Domänennamen oder einen Platzhalter auf der gleichen Ebene des alternativen Domänennamens enthalten muss, den Sie hinzufügen.
Weitere Informationen finden Sie unter [Voraussetzungen für die Verwendung von alternativen Domänennamen](CNAMEs.md#alternate-domain-names-requirements).
## Minimale SSL/TLS Protokollversion
Wenn Sie dedizierte IP-Adressen verwenden, legen Sie die SSL/TLS Mindestprotokollversion für die Verbindung zwischen Zuschauern fest und CloudFront wählen Sie eine Sicherheitsrichtlinie aus.
Weitere Informationen finden Sie [Sicherheitsrichtlinie (SSL/TLS-Mindestversion)](DownloadDistValuesGeneral.md#DownloadDistValues-security-policy) im Thema [Referenz für alle Distributionseinstellungen](distribution-web-values-specify.md).
## Unterstützte HTTP-Versionen
Wenn Sie ein Zertifikat mehreren CloudFront Distributionen zuordnen, müssen alle mit dem Zertifikat verknüpften Distributionen dieselbe Option für [Unterstützte HTTP-Versionen](DownloadDistValuesGeneral.md#DownloadDistValuesSupportedHTTPVersions) verwenden. Sie geben diese Option an, wenn Sie eine CloudFront Verteilung erstellen oder aktualisieren.
# Kontingente für die Verwendung von SSL/TLS Zertifikaten mit CloudFront (HTTPS nur zwischen Zuschauern und CloudFront nur)
Beachten Sie die folgenden Kontingente für die Verwendung von SSL/TLS Zertifikaten mitCloudFront. Diese Kontingente gelten nur für SSL/TLS Zertifikate, die Sie mithilfe von AWS Certificate Manager (ACM) bereitstellen, die Sie in ACM importieren oder für die HTTPS-Kommunikation zwischen Zuschauern und in den IAM-Zertifikatsspeicher hochladen. CloudFront
Weitere Informationen finden Sie unter [Erhöhen der Kontingente für SSL-/TLS-Zertifikate](increasing-the-limit-for-ssl-tls-certificates.md).
**Maximale Anzahl von Zertifikaten pro Distribution CloudFront **
Sie können jeder CloudFront Distribution maximal ein SSL/TLS Zertifikat zuordnen.
**Maximale Anzahl an Zertifikaten, die Sie in ACM importieren oder in den IAM-Zertifikatspeicher hochladen können**
Wenn Sie Ihre SSL/TLS Zertifikate von einer Drittanbieter-Zertifizierungsstelle bezogen haben, müssen Sie die Zertifikate an einem der folgenden Orte speichern:
+ **AWS Certificate Manager** – Informationen zum aktuellen Kontingent für die Anzahl der ACM-Zertifikate finden Sie unter [Kontingente](https://docs.aws.amazon.com/acm/latest/userguide/acm-limits.html) im *AWS Certificate Manager -Benutzerhandbuch*. Das angegebene Kontingent umfasst sowohl die Zertifikate, die Sie mithilfe von ACM bereitstellen, als auch die Zertifikate, die Sie in ACM importieren.
+ **IAM-Zertifikatsspeicher** — Informationen zum aktuellen Kontingent (früher als Limit bezeichnet) für die Anzahl der Zertifikate, die Sie für ein AWS Konto in den IAM-Zertifikatsspeicher hochladen können, finden Sie unter [IAM- und STS-Grenzwerte im *IAM-Benutzerhandbuch*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-limits.html). Sie können über die Service-Quotas-Konsole eine Kontingenterhöhung beantragen.
**Maximale Anzahl von Zertifikaten pro AWS Konto (nur dedizierte IP-Adressen)**
Wenn Sie HTTPS-Anforderungen unter Verwendung dedizierter IP-Adressen bedienen möchten, beachten Sie bitte folgende Hinweise:
+ Erlaubt CloudFront Ihnen standardmäßig, zwei Zertifikate mit Ihrem AWS Konto zu verwenden, eines für den täglichen Gebrauch und eines für den Fall, dass Sie Zertifikate für mehrere Distributionen rotieren müssen.
+ Wenn Sie mehr als zwei benutzerdefinierte SSL/TLS Zertifikate für Ihr AWS Konto benötigen, können Sie in der Service Quotas Quotas-Konsole ein höheres Kontingent beantragen.
**Verwenden Sie dasselbe Zertifikat für CloudFront Distributionen, die mit unterschiedlichen AWS Konten erstellt wurden**
Wenn Sie eine Zertifizierungsstelle eines Drittanbieters verwenden und dasselbe Zertifikat mit mehreren CloudFront Distributionen verwenden möchten, die mit unterschiedlichen AWS Konten erstellt wurden, müssen Sie das Zertifikat in ACM importieren oder es für jedes Konto einmal in den IAM-Zertifikatsspeicher hochladen. AWS
Wenn Sie von ACM bereitgestellte Zertifikate verwenden, können Sie nicht so konfigurieren, dass Zertifikate verwendet werden, CloudFront die von einem anderen Konto erstellt wurden. AWS
**Verwenden Sie dasselbe Zertifikat für CloudFront und für andere Dienste AWS **
Wenn Sie ein Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle wie Comodo oder Symantec erworben haben, können Sie dasselbe Zertifikat für CloudFront und für andere AWS Dienste verwenden. DigiCert Wenn Sie das Zertifikat in ACM importieren, müssen Sie es nur einmal importieren, um es für mehrere AWS -Services verwenden zu können.
Wenn Sie von ACM bereitgestellte Zertifikate verwenden, werden die Zertifikate in ACM gespeichert.
**Verwenden Sie dasselbe Zertifikat für mehrere Distributionen CloudFront **
Sie können ein und dasselbe Zertifikat für beliebige oder alle CloudFront-Verteilungen nutzen, die Sie zur Bedienung von HTTPS-Anforderungen verwenden. Beachten Sie Folgendes:
+ Sie können mit ein und demselben Zertifikat Anforderungen sowohl unter Verwendung dedizierter IP-Adressen als auch unter Verwendung von SNI bedienen.
+ Sie können jeweils nur ein Zertifikat mit jeder Distribution verknüpfen.
+ Jede Distribution muss einen oder mehrere alternative Domänennamen beinhalten, die auch im Feld **Common Name (Allgemeiner Name)** bzw. im Feld **Subject Alternative Names (Alternative Subjektnamen)** im Zertifikat angezeigt werden.
+ Wenn Sie HTTPS-Anfragen mit dedizierten IP-Adressen bearbeiten und alle Ihre Distributionen mit demselben AWS Konto erstellt haben, können Sie Ihre Kosten erheblich senken, indem Sie für alle Distributionen dasselbe Zertifikat verwenden. CloudFront Gebühren für jedes Zertifikat, nicht für jede Verteilung.
Nehmen wir beispielsweise an, Sie erstellen drei Distributionen mit demselben AWS Konto und verwenden dasselbe Zertifikat für alle drei Distributionen. In diesem Fall würde Ihnen nur eine Gebühr für die Nutzung dedizierter IP-Adressen in Rechnung gestellt.
Wenn Sie jedoch HTTPS-Anfragen mit dedizierten IP-Adressen bearbeiten und dasselbe Zertifikat verwenden, um CloudFront Verteilungen in verschiedenen AWS Konten zu erstellen, wird jedem Konto die Gebühr für die Verwendung dedizierter IP-Adressen berechnet. Wenn Sie beispielsweise drei Verteilungen mithilfe von drei verschiedenen AWS Konten erstellen und dasselbe Zertifikat für alle drei Verteilungen verwenden, wird jedem Konto die volle Gebühr für die Verwendung dedizierter IP-Adressen berechnet.
# Konfigurieren alternativer Domainnamen und HTTPS
Um alternative Domainnamen URLs für Ihre Dateien zu verwenden und HTTPS zwischen Zuschauern und zu verwenden CloudFront, führen Sie die entsprechenden Verfahren aus.
**Topics**
+ [
## Besorgen Sie sich ein SSL/TLS Zertifikat
](#cnames-and-https-getting-certificates)
+ [
## Importieren eines SSL-/TLS-Zertifikats
](#cnames-and-https-uploading-certificates)
+ [
## Aktualisieren Sie Ihre CloudFront Distribution
](#cnames-and-https-updating-cloudfront)
## Besorgen Sie sich ein SSL/TLS Zertifikat
Besorgen Sie sich ein SSL/TLS Zertifikat, falls Sie noch keines haben. Weitere Informationen finden Sie in der entsprechenden Dokumentation:
+ Informationen zur Verwendung eines von AWS Certificate Manager (ACM) bereitgestellten Zertifikats finden Sie im [AWS Certificate Manager Benutzerhandbuch](https://docs.aws.amazon.com/acm/latest/userguide/). Fahren Sie anschließend fort mit der unter [Aktualisieren Sie Ihre CloudFront Distribution](#cnames-and-https-updating-cloudfront) beschriebenen Anleitung.
**Anmerkung**
Wir empfehlen, ACM für die Bereitstellung, Verwaltung und Bereitstellung von SSL/TLS Zertifikaten auf AWS verwalteten Ressourcen zu verwenden. Sie müssen ein ACM-Zertifikat in der Region USA Ost (Nord-Virginia) anfordern.
+ Wenn Sie ein Zertifikat von einer Zertifizierungsstelle (CA, Certificate Authority) eines Drittanbieters beziehen möchten, finden Sie entsprechende Informationen zur Vorgehensweise in der Dokumentation der Zertifizierungsstelle. Wenn Sie das Zertifikat haben, fahren Sie mit dem nächsten Schritt fort.
## Importieren eines SSL-/TLS-Zertifikats
Wenn Sie Ihr Zertifikat von einer Drittanbieter-Zertifizierungsstelle bezogen haben, importieren Sie das Zertifikat in ACM oder laden Sie es in den IAM-Zertifikatspeicher hoch:
**ACM (empfohlen)**
Mit ACM können Sie Drittanbieter-Zertifikate sowohl programmgesteuert als auch über die ACM-Konsole importieren. Informationen zum Importieren eines Zertifikats in ACM finden Sie unter [Importieren von Zertifikaten in AWS Certificate Manager](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate.html) im *AWS Certificate Manager -Benutzerhandbuch*. Sie müssen das Zertifikat in der Region USA Ost (Nord-Virginia) importieren.
**IAM-Zertifikatspeicher**
(Nicht empfohlen) Verwenden Sie den folgenden AWS CLI Befehl, um Ihr Drittanbieterzertifikat in den IAM-Zertifikatsspeicher hochzuladen.
```
aws iam upload-server-certificate \
--server-certificate-name CertificateName \
--certificate-body file://public_key_certificate_file \
--private-key file://privatekey.pem \
--certificate-chain file://certificate_chain_file \
--path /cloudfront/path/
```
Beachten Sie Folgendes:
+ **AWS Konto** — Sie müssen das Zertifikat mit demselben AWS Konto, mit dem Sie Ihre CloudFront Distribution erstellt haben, in den IAM-Zertifikatsspeicher hochladen.
+ **--path-Parameter** – Wenn Sie Ihr Zertifikat in IAM hochladen, muss der Wert des Parameters `--path` (Zertifikatspfad) mit `/cloudfront/` beginnen, wie z. B. `/cloudfront/production/` oder `/cloudfront/test/`. Zudem muss der Pfad mit einem „/“ (Schrägstrich) enden.
+ **Vorhandene Zertifikate** – Die Werte, die Sie für die Parameter `--server-certificate-name` und `--path` angeben, müssen sich von den entsprechenden Werten bereits vorhandener Zertifikate unterscheiden.
+ **Verwendung der CloudFront Konsole** — Der Wert, den Sie für den `--server-certificate-name` Parameter in angeben AWS CLI, wird beispielsweise in der Liste der **SSL-Zertifikate** in der CloudFront Konsole angezeigt. `myServerCertificate`
+ **Verwenden der CloudFront API** — Notieren Sie sich die alphanumerische Zeichenfolge, die AWS CLI zurückgegeben wird, `AS1A2M3P4L5E67SIIXR3J` z. B. Dies ist der Wert, den Sie im Element `IAMCertificateId` angeben müssen. Den ebenfalls von der CLI zurückgegebenen IAM-ARN können Sie ignorieren.
Weitere Informationen zu finden Sie im AWS CLI[AWS Command Line Interface Benutzerhandbuch](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) und in der [AWS CLI Befehlsreferenz.](https://docs.aws.amazon.com/cli/latest/reference/)
## Aktualisieren Sie Ihre CloudFront Distribution
Verfahren Sie wie folgt, um Einstellungen für Ihre Distribution zu aktualisieren:
**Um Ihre CloudFront Distribution für alternative Domainnamen zu konfigurieren**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die CloudFront Konsole unter[https://console.aws.amazon.com/cloudfront/v4/home](https://console.aws.amazon.com/cloudfront/v4/home).
1. Wählen Sie die ID für die Distribution aus, die Sie aktualisieren möchten.
1. Wählen Sie auf der Registerkarte **General** die Option **Edit** aus.
1. Aktualisieren Sie die folgenden Werte:
**Alternativer Domainname (CNAME)**
Wählen Sie **Objekt hinzufügen** aus, um die entsprechenden alternativen Domainnamen hinzuzufügen. Trennen Sie einzelne Domain-Namen mit Kommas oder geben Sie jeden Domain-Namen in einer neuen Zeile ein.
**Benutzerdefiniertes SSL-Zertifikat**
Wählen Sie ein Zertifikat aus der Dropdown-Liste aus.
Bis zu 100 Zertifikate sind hier aufgelistet. Bei mehr als 100 Zertifikaten geben Sie ggf. einen Zertifikat-ARN in das Feld ein, um das Zertifikat, das Sie hinzufügen möchten, auszuwählen.
Wenn Sie ein Zertifikat in den IAM-Zertifikatspeicher hochgeladen haben, das Zertifikat in der Liste jedoch nicht angezeigt wird und Sie es durch Eingabe des Namens in dem Feld nicht auswählen können, überprüfen Sie anhand der unter [Importieren eines SSL-/TLS-Zertifikats](#cnames-and-https-uploading-certificates) beschriebenen Vorgehensweise, ob Sie das Zertifikat korrekt hochgeladen haben.
Nachdem Sie Ihr SSL/TLS Zertifikat mit Ihrer CloudFront Distribution verknüpft haben, löschen Sie das Zertifikat nicht aus ACM oder dem IAM-Zertifikatsspeicher, bis Sie das Zertifikat aus allen Distributionen entfernt haben und alle Distributionen bereitgestellt sind.
1. Wählen Sie **Änderungen speichern ** aus.
1. Konfigurieren Sie CloudFront es so, dass HTTPS zwischen Zuschauern erforderlich ist und: CloudFront
1. Wählen Sie auf der Registerkarte **Behaviors** das zu aktualisierende Cache-Verhalten und anschließend **Edit** aus.
1. Geben Sie einen der folgenden Werte für **Viewer Protocol Policy** an:
**Redirect HTTP to HTTPS**
Betrachter können beide Protokolle verwenden. HTTP-Anforderungen jedoch werden automatisch an HTTPS-Anforderungen umgeleitet. CloudFront gibt den HTTP-Statuscode `301 (Moved Permanently)` zusammen mit der neuen HTTPS-URL zurück. Der Betrachter sendet die Anfrage dann erneut CloudFront unter Verwendung der HTTPS-URL.
CloudFront leitet`DELETE`,, `OPTIONS` `PATCH``POST`, oder `PUT` Anfragen nicht von HTTP zu HTTPS weiter. Wenn Sie ein Cache-Verhalten so konfigurieren, dass es zu HTTPS umleitet`DELETE`, CloudFront reagiert auf HTTP- `OPTIONS``PATCH`,`POST`,, oder `PUT` Anfragen für dieses Cache-Verhalten mit HTTP-Statuscode`403 (Forbidden)`.
Wenn ein Betrachter eine HTTP-Anfrage stellt, die zu einer HTTPS-Anfrage umgeleitet wird, CloudFront fallen Gebühren für beide Anfragen an. Die Gebühren für die HTTP-Anforderung beziehen sich nur auf die Anforderung und die Header, die von CloudFront an den Viewer zurückgegeben werden. Bezüglich der HTTPS-Anforderung fallen Gebühren für die Anforderung sowie für die vom Ursprung zurückgegebenen Header und die Datei an, die vom Ursprung zurückgegeben wird.
**HTTPS Only**
Viewer können auf Ihre Inhalte nur zugreifen, wenn sie HTTPS verwenden. Wenn ein Betrachter statt einer HTTPS-Anfrage eine HTTP-Anfrage sendet, CloudFront gibt er den HTTP-Statuscode zurück `403 (Forbidden)` und gibt die Datei nicht zurück.
1. Wählen Sie **Yes, Edit** aus.
1. Wiederholen Sie Schritt a bis c für jedes weitere Cache-Verhalten, das die Verwendung von HTTPS für die Kommunikation zwischen Viewern und CloudFront erzwingen soll.
1. Vergewissern Sie sich, dass folgende Punkte erfüllt sind, bevor Sie die aktualisierte Konfiguration in einer Produktionsumgebung verwenden:
+ Das Pfadmuster eines jeden Cache-Verhaltens wird nur auf die Anforderungen angewendet, für die die Viewer HTTPS verwenden sollen.
+ Die Cache-Verhaltensweisen sind in der Reihenfolge aufgeführt, in der sie von CloudFront ausgewertet werden sollen. Weitere Informationen finden Sie unter [Pfadmuster](DownloadDistValuesCacheBehavior.md#DownloadDistValuesPathPattern).
+ Die Cache-Verhaltensweisen leiten Anforderungen an die richtigen Ursprünge weiter.
# Ermitteln Sie die Größe des öffentlichen Schlüssels in einem SSL/TLS RSA-Zertifikat
Wenn Sie CloudFront alternative Domainnamen und HTTPS verwenden, beträgt die maximale Größe des öffentlichen Schlüssels in einem SSL/TLS RSA-Zertifikat 4096 Bit. (Dies bezieht sich auf die Schlüsselgröße, nicht auf die Anzahl der Zeichen in dem öffentlichen Schlüssel.) Wenn Sie AWS Certificate Manager für Ihre Zertifikate verwenden, unterstützt ACM zwar größere RSA-Schlüssel, Sie können die größeren Schlüssel jedoch nicht mit verwenden. CloudFront
Sie können die Länge des öffentlichen RSA-Schlüssels durch Ausführen des folgenden OpenSSL-Befehls ermitteln:
```
openssl x509 -in path and filename of SSL/TLS certificate -text -noout
```
Wobei gilt:
+ `-in`gibt den Pfad und den Dateinamen Ihres SSL/TLS RSA-Zertifikats an.
+ `-text` veranlasst, dass OpenSSL die Länge des öffentlichen RSA-Schlüssels in Bit anzeigt.
+ `-noout` verhindert, dass OpenSSL den öffentlichen Schlüssel anzeigt.
Beispielausgabe:
```
Public-Key: (2048 bit)
```
# Erhöhen der Kontingente für SSL-/TLS-Zertifikate
Es gibt Kontingente für die Anzahl der SSL/TLS Zertifikate, die Sie in AWS Certificate Manager (ACM) importieren oder hochladen AWS Identity and Access Management (IAM) können. Es gibt auch ein Kontingent für die Anzahl der SSL/TLS Zertifikate, die Sie zusammen mit und AWS-Konto bei der Konfiguration CloudFront für die Bearbeitung von HTTPS-Anfragen mithilfe von dedizierten IP-Adressen verwenden können. Sie haben jedoch die Möglichkeit, höhere Kontingente anzufordern.
**Topics**
+ [
## Erhöhen des Kontingents für in ACM importierte Zertifikate
](#certificates-to-import-into-acm)
+ [
## Erhöhen des Kontingents für in IAM hochgeladene Zertifikate
](#certificates-to-upload-into-iam)
+ [
## Erhöhen des Kontingents für Zertifikate, die mit dedizierten IP-Adressen verwendet werden
](#certificates-using-dedicated-ip-address)
## Erhöhen des Kontingents für in ACM importierte Zertifikate
Informationen zum Kontingent bezüglich der Anzahl von Zertifikaten, die Sie in ACM importieren können, finden Sie unter [Kontingente](https://docs.aws.amazon.com/acm/latest/userguide/acm-limits.html) im *AWS Certificate Manager -Benutzerhandbuch*.
Verwenden Sie zum Anfordern einer Kontingenterhöhung die Service-Quotas-Konsole. Weitere Informationen finden Sie unter [Beantragen einer Kontingenterhöhung](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-quota-increase.html) im *Service-Quotas-Benutzerhandbuch*.
## Erhöhen des Kontingents für in IAM hochgeladene Zertifikate
Informationen zum Kontingent (früher als Limit bezeichnet) für die Anzahl der Zertifikate, die Sie auf IAM hochladen können, finden Sie unter [IAM- und STS-Limits](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-limits.html) im *AM Benutzerhandbuch*.
Verwenden Sie zum Anfordern einer Kontingenterhöhung die Service-Quotas-Konsole. Weitere Informationen finden Sie unter [Beantragen einer Kontingenterhöhung](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-quota-increase.html) im *Service-Quotas-Benutzerhandbuch*.
## Erhöhen des Kontingents für Zertifikate, die mit dedizierten IP-Adressen verwendet werden
Informationen zum Kontingent für die Anzahl der SSL-Zertifikate, die Sie für jedes Zertifikat verwenden können, AWS-Konto wenn Sie HTTPS-Anfragen über dedizierte IP-Adressen bearbeiten, finden Sie unter[Kontingente für SSL-Zertifikate](cloudfront-limits.md#limits-ssl-certificates).
Verwenden Sie zum Anfordern einer Kontingenterhöhung die Service-Quotas-Konsole. Weitere Informationen finden Sie unter [Beantragen einer Kontingenterhöhung](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-quota-increase.html) im *Service-Quotas-Benutzerhandbuch*.
# SSL/TLS Zertifikate rotieren
Wenn Ihre SSL/TLS Zertifikate bald ablaufen, müssen Sie sie rotieren, um die Sicherheit Ihrer Verteilung zu gewährleisten und Serviceunterbrechungen für Ihre Zuschauer zu vermeiden. Sie können sie auf folgende Arten rotieren:
+ Bei SSL/TLS Zertifikaten, die von AWS Certificate Manager (ACM) bereitgestellt werden, müssen Sie sie nicht rotieren. ACM übernimmt für Sie *automatisch* die Verwaltung der Zertifikatserneuerungen. Weitere Informationen finden Sie unter [Verwaltete Zertifikaterneuerung](https://docs.aws.amazon.com/acm/latest/userguide/acm-renewal.html) im *Benutzerhandbuch für AWS Certificate Manager *.
+ Wenn Sie Zertifikate von einer Drittanbieter-Zertifizierungsstelle beziehen und in ACM importieren (empfohlen) bzw. in den IAM-Zertifikatspeicher hochladen, müssen Sie gelegentlich ein Zertifikat durch ein anderes ersetzen.
**Wichtig**
ACM verwaltet keine Erneuerungen für Zertifikate, die Sie von Drittanbieter-Zertifizierungsstellen erwerben und in ACM importieren.
Wenn Sie so konfiguriert CloudFront haben, dass HTTPS-Anfragen mithilfe von dedizierten IP-Adressen bedient werden, fallen möglicherweise zusätzliche, anteilige Gebühren für die Verwendung eines oder mehrerer zusätzlicher Zertifikate an, während Sie Zertifikate rotieren. Für diesen Fall wird empfohlen, dass Sie Ihre Distributionen aktualisieren, um die zusätzliche Kosten zu minimieren.
## Zertifikate rotieren SSL/TLS
Gehen Sie wie unten beschrieben vor, um Zertifikate zu rotieren. Viewer können weiterhin auf Ihre Inhalte zugreifen, während Sie Zertifikate rotieren, aber auch nachdem der Vorgang abgeschlossen ist.
**So rotieren Sie SSL/TLS-Zertifikate:**
1. Überprüfen Sie anhand des Abschnitts [Erhöhen der Kontingente für SSL-/TLS-Zertifikate](increasing-the-limit-for-ssl-tls-certificates.md), ob Sie eine Berechtigung zur Verwendung mehrerer SSL-Zertifikate benötigen. Wenn dies der Fall ist, beantragen Sie die Berechtigung und warten Sie, bis die Berechtigung erteilt ist, bevor Sie mit Schritt 2 fortfahren.
1. Importieren Sie das neue Zertifikat in ACM oder laden Sie es zu IAM hoch. Weitere Informationen finden Sie unter [Import eines SSL/TLS Zertifikats](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/cnames-and-https-procedures.html#cnames-and-https-uploading-certificates) im *Amazon CloudFront Developer Guide*.
1. (Nur für IAM-Zertifikate) Aktualisieren Sie Ihre Distributionen, indem Sie nacheinander jede von ihnen für die Verwendung des neuen Zertifikats konfigurieren. Weitere Informationen finden Sie unter [Eine Verteilung aktualisieren](HowToUpdateDistribution.md).
1. (Optional) Löschen Sie das vorherige Zertifikat aus ACM oder IAM.
**Wichtig**
Löschen Sie ein SSL/TLS Zertifikat erst, wenn Sie es aus allen Distributionen entfernt haben und der Status der Distributionen, die Sie aktualisiert haben, geändert hat. `Deployed`
# Kehren Sie von einem benutzerdefinierten SSL/TLS-Zertifikat zum Standardzertifikat zurück CloudFront
Wenn Sie CloudFront für die Verwendung von HTTPS zwischen Zuschauern und konfiguriert haben und CloudFront Sie für die Verwendung eines benutzerdefinierten SSL/TLS Zertifikats konfiguriert CloudFront haben, können Sie Ihre Konfiguration so ändern, dass das standardmäßige CloudFront SSL/TLS-Zertifikat verwendet wird. Die Vorgehensweise hängt davon ab, ob Sie Ihre Distribution bereits zur Distribution Ihrer Inhalte verwendet haben:
+ Wenn Sie Ihre Distribution noch nicht zur Distribution Ihrer Inhalte genutzt haben, können Sie einfach die Konfiguration ändern. Weitere Informationen finden Sie unter [Eine Verteilung aktualisieren](HowToUpdateDistribution.md).
+ Wenn Sie Ihre Inhalte über Ihre Distribution verteilt haben, müssen Sie eine neue CloudFront Distribution erstellen und die Einstellungen URLs für Ihre Dateien ändern, um die Zeit, in der Ihre Inhalte nicht verfügbar sind, zu reduzieren oder zu vermeiden. In diesem Fall verfahren Sie wie nachfolgend beschrieben.
## Zum CloudFront Standardzertifikat zurückkehren
Das folgende Verfahren zeigt Ihnen, wie Sie von einem benutzerdefinierten SSL/TLS Zertifikat zum CloudFront Standardzertifikat zurückkehren.
**So kehren Sie zum Standardzertifikat zurück CloudFront**
1. Erstellen Sie eine neue CloudFront Distribution mit der gewünschten Konfiguration. Wählen Sie für **SSL Certificate** die Option **Default CloudFront Certificate (\$1.cloudfront.net)** aus.
Weitere Informationen finden Sie unter [Eine Distribution erstellen](distribution-web-creating-console.md).
1. Für Dateien, mit denen Sie verteilen CloudFront, aktualisieren Sie die URLs in Ihrer Anwendung, sodass sie den Domänennamen verwenden, CloudFront der der neuen Distribution zugewiesen wurde. Sie können beispielsweise `https://www.example.com/images/logo.png` in `https://d111111abcdef8.cloudfront.net/images/logo.png` ändern.
1. Löschen Sie entweder die Distribution, die einem benutzerdefinierten SSL/TLS-Zertifikat zugeordnet ist, oder aktualisieren Sie die Verteilung, um den Wert von **SSL Certificate in Default CloudFront Certificate** **(\$1.cloudfront.net**) zu ändern. Weitere Informationen finden Sie unter [Eine Verteilung aktualisieren](HowToUpdateDistribution.md).
**Wichtig**
Solange Sie diesen Schritt nicht abgeschlossen haben, werden Ihnen AWS weiterhin Gebühren für die Nutzung eines benutzerdefinierten Zertifikats berechnet. SSL/TLS
1. (Optional) Löschen Sie Ihr benutzerdefiniertes SSL/TLS Zertifikat.
1. Führen Sie den AWS CLI Befehl aus`list-server-certificates`, um die Zertifikat-ID des Zertifikats abzurufen, das Sie löschen möchten. Weitere Informationen finden Sie unter [list-server-certificates](https://docs.aws.amazon.com/cli/latest/reference/iam/list-server-certificates.html) in der Referenz zum *AWS CLI -Befehl*.
1. Führen Sie den AWS CLI Befehl aus`delete-server-certificate`, um das Zertifikat zu löschen. Weitere Informationen finden Sie unter [delete-server-certificate](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-server-certificate.html) in der Referenz zum *AWS CLI -Befehl*.
# Wechsel von einem benutzerdefinierten SSL-/TLS-Zertifikat mit dedizierten IP-Adressen zu SNI
Wenn Sie für CloudFront die Verwendung eines benutzerdefinierten SSL/TLS Zertifikats mit dedizierten IP-Adressen konfiguriert haben, können Sie stattdessen zu einem benutzerdefinierten SSL/TLS Zertifikat mit SNI wechseln und die mit dedizierten IP-Adressen verbundenen Gebühren vermeiden.
**Wichtig**
Dieses Update Ihrer CloudFront Konfiguration hat keine Auswirkungen auf Zuschauer, die SNI unterstützen. Zuschauer können vor und nach der Änderung sowie während der Übertragung der Änderung an CloudFront Edge-Standorten auf Ihre Inhalte zugreifen. Viewer, die SNI nicht unterstützen, können nach der Änderung nicht auf Ihre Inhalte zugreifen. Weitere Informationen finden Sie unter [Wählen Sie aus, wie CloudFront HTTPS-Anfragen bearbeitet werden](cnames-https-dedicated-ip-or-sni.md).
## Wechsel von einem benutzerdefinierten Zertifikat zu SNI
Das folgende Verfahren zeigt Ihnen, wie Sie von einem benutzerdefinierten SSL/TLS Zertifikat mit dedizierten IP-Adressen zu SNI wechseln.
**So wechseln Sie von einem benutzerdefinierten SSL/TLS Zertifikat mit dedizierten IP-Adressen zu SNI**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die CloudFront Konsole unter[https://console.aws.amazon.com/cloudfront/v4/home](https://console.aws.amazon.com/cloudfront/v4/home).
1. Wählen Sie die ID der Distribution aus, die Sie anzeigen oder aktualisieren möchten.
1. Wählen Sie **Distribution Settings** aus.
1. Wählen Sie auf der Registerkarte **General** die Option **Edit** aus.
1. Deaktivieren Sie unter **Benutzerdefinierte SSL-Zertifizierung – *optional*** die Option **Unterstützung für Legacy-Clients**.
1. Wählen Sie **Yes, Edit** aus.