Configurer des noms de domaine alternatifs et HTTPS - Amazon CloudFront
Obtenir un TLS certificatSSL/Importer un TLS certificatSSL/Mettez à jour votre CloudFront distribution

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configurer des noms de domaine alternatifs et HTTPS

Pour utiliser des noms de domaine alternatifs dans vos fichiers et URLs pour HTTPS les utiliser entre utilisateurs CloudFront, suivez les procédures applicables.

Obtenir un TLS certificatSSL/

Obtenez un TLS certificatSSL/si vous n'en avez pas déjà un. Pour plus d'informations, consultez la documentation pertinente :

  • Pour utiliser un certificat fourni par AWS Certificate Manager (ACM), consultez le guide de AWS Certificate Manager l'utilisateur. Passez ensuite à Mettez à jour votre CloudFront distribution.

    Note

    Nous vous recommandons de l'utiliser ACM pour provisionner, gérer et déployer les TLS certificatsSSL/sur les ressources AWS gérées. Vous devez demander un ACM certificat dans la région USA Est (Virginie du Nord).

  • Pour obtenir un certificat auprès d’une autorité de certification tierce, consultez la documentation fournie par l’autorité de certification. Lorsque vous avez obtenu le certificat, passez à la procédure suivante.

Importer un TLS certificatSSL/

Si vous avez obtenu votre certificat auprès d'une autorité de certification tierce, importez-le ACM ou téléchargez-le dans le magasin de IAM certificats :

ACM(recommandé)

ACMvous permet d'importer des certificats tiers depuis la ACM console, ainsi que par programmation. Pour plus d'informations sur l'importation d'un certificat versACM, consultez la section Importation de certificats AWS Certificate Manager dans le guide de AWS Certificate Manager l'utilisateur. Vous devez importer le certificat dans la région USA Est (Virginie du Nord).

Magasin de certificats IAM

(Non recommandé) Utilisez la AWS CLI commande suivante pour télécharger votre certificat tiers dans le magasin de IAM certificats.

aws iam upload-server-certificate \
        --server-certificate-name CertificateName \
        --certificate-body file://public_key_certificate_file \
        --private-key file://privatekey.pem \
        --certificate-chain file://certificate_chain_file \
        --path /cloudfront/path/

Notez ce qui suit :

  • AWS compte : vous devez télécharger le certificat dans le magasin de IAM certificats en utilisant le même AWS compte que celui que vous avez utilisé pour créer votre CloudFront distribution.

  • paramètre --path — Lorsque vous téléchargez le certificat versIAM, la valeur du --path paramètre (chemin du certificat) doit commencer par/cloudfront/, par exemple, /cloudfront/production/ ou/cloudfront/test/. Le chemin doit se terminer par un caractère /.

  • Certificats existants : vous devez affecter aux paramètres --server-certificate-name et --path des valeurs différentes de celles qui sont associées aux certificats existants.

  • Utilisation de la CloudFront console : la valeur que vous spécifiez pour le --server-certificate-name paramètre dans AWS CLI, par exemplemyServerCertificate, apparaît dans la liste des SSLcertificats de la CloudFront console.

  • En utilisant le CloudFront API — Notez la chaîne alphanumérique AWS CLI renvoyée, par exemple,AS1A2M3P4L5E67SIIXR3J. Il s’agit de la valeur que vous spécifierez dans l’élément IAMCertificateId. Vous n'avez pas besoin du IAMARN, qui est également renvoyé par leCLI.

Pour plus d'informations sur le AWS CLI, consultez le guide de l'AWS Command Line Interface utilisateur et le manuel de référence des AWS CLI commandes.

Mettez à jour votre CloudFront distribution

Pour mettre à jour les paramètres de votre distribution, procédez comme suit :

Pour configurer votre CloudFront distribution pour les noms de domaine alternatifs

  1. Connectez-vous à la CloudFront console AWS Management Console et ouvrez-la à l'adressehttps://console.aws.amazon.com/cloudfront/v4/home.

  2. Choisissez l’ID de la distribution que vous souhaitez mettre à jour.

  3. Sous l’onglet General, choisissez Edit.

  4. Mettez à jour les valeurs suivantes :

    Nom de domaine alternatif (CNAME)

    Choisissez Ajouter un élément pour ajouter les noms de domaine alternatifs applicables. Séparez les noms de domaines par des virgules ou saisissez chaque nom de domaine sur une nouvelle ligne.

    SSLCertificat personnalisé

    Sélectionnez un certificat dans la liste déroulante.

    Jusqu’à 100 certificats sont répertoriés ici. Si vous avez plus de 100 certificats et que vous ne voyez pas le certificat que vous souhaitez ajouter, vous pouvez saisir un certificat ARN dans le champ pour le sélectionner.

    Si vous avez chargé un IAM certificat dans le magasin de certificats mais qu'il n'est pas répertorié, et que vous ne pouvez pas le choisir en saisissant le nom dans le champ, passez en revue la procédure Importer un TLS certificatSSL/ pour vérifier que vous avez correctement chargé le certificat.

    Important

    Après avoir associé votre TLS certificatSSL/à votre CloudFront distribution, ne supprimez pas le certificat ACM ou le magasin de certificats tant que vous n'avez pas supprimé le certificat de toutes les distributions et que toutes les distributions n'ont pas été déployées. IAM

  5. Sélectionnez Enregistrer les modifications.

  6. Configurez CloudFront pour exiger HTTPS entre les spectateurs et CloudFront :

    1. Sous l’onglet Comportements, choisissez le comportement de cache à mettre à jour, puis sélectionnez Modifier.

    2. Spécifiez l’une des valeurs suivantes pour Politique de protocole d’utilisateur :

      Rediriger HTTP vers HTTPS

      Les utilisateurs peuvent utiliser les deux protocoles, mais les HTTP demandes sont automatiquement redirigées vers les HTTPS demandes. CloudFrontrenvoie HTTP le code d'état 301 (Moved Permanently) avec le nouveau HTTPSURL. Le téléspectateur soumet ensuite à nouveau la demande à CloudFront l'aide du HTTPSURL.

      Important

      CloudFront ne redirige pas DELETEOPTIONS,PATCH,POST, ni les PUT demandes de HTTP versHTTPS. Si vous configurez un comportement de cache pour rediriger HTTPS CloudFront , répondre à HTTP DELETEOPTIONS, PATCHPOST, ou demander PUT ce comportement de cache avec un code HTTP d'état403 (Forbidden).

      Lorsqu'un utilisateur fait une HTTP demande qui est redirigée vers une HTTPS demande, CloudFront les deux demandes sont facturées. Pour la HTTP demande, les frais concernent uniquement la demande et les en-têtes CloudFront renvoyés au spectateur. Pour la HTTPS demande, les frais correspondent à la demande, ainsi qu'aux en-têtes et au fichier renvoyés par votre origine.

      HTTPSUniquement

      Les spectateurs ne peuvent accéder à votre contenu que s'ils l'utilisentHTTPS. Si un utilisateur envoie une HTTP demande au lieu d'une HTTPS demande, CloudFront renvoie le code d'HTTPétat 403 (Forbidden) et ne renvoie pas le fichier.

    3. Choisissez Oui, Modifier.

    4. Répétez les étapes a à c pour chaque comportement de cache supplémentaire que vous souhaitez exiger entre HTTPS les spectateurs etCloudFront.

  7. Vérifiez les éléments suivants avant d’utiliser la configuration mise à jour dans un environnement de production :

    • Le modèle de chemin de chaque comportement de cache s'applique uniquement aux demandes que vous souhaitez que les utilisateurs utilisentHTTPS.

    • Les comportements du cache sont répertoriés dans l'ordre dans lequel vous CloudFront souhaitez les évaluer. Pour de plus amples informations, veuillez consulter Modèle de chemin d’accès.

    • Les comportements de cache acheminent les requêtes vers les origines correctes.