Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Conditions requises pour utiliser les TLS certificatsSSL/avec CloudFront
Les exigences relatives aux TLS certificatsSSL/sont décrites dans cette rubrique. Elles s’appliquent, sauf indication contraire, aux deux certificats suivants :
-
Certificats à utiliser HTTPS entre les spectateurs et CloudFront
-
Certificats d'utilisation HTTPS entre CloudFront et votre origine
Rubriques
- Auteur du certificat
- Région AWS pour AWS Certificate Manager
- Format du certificat
- Certificats intermédiaires
- Type de clé
- Clé privée
- Autorisations
- Taille de la clé de certificat
- Types de certificats pris en charge
- Date d’expiration de certificat et renouvellement
- Noms de domaine dans la CloudFront distribution et dans le certificat
- Version SSL minimale/version TLS du protocole
- HTTPVersions prises en charge
Auteur du certificat
Nous vous recommandons d'utiliser un certificat public émis par AWS Certificate Manager (ACM)us-east-1).
CloudFront prend en charge les mêmes autorités de certification (CAs) que Mozilla, donc si vous ne l'utilisez pasACM, utilisez un certificat émis par une autorité de certification figurant sur la liste des certificats d'autorité de certification inclus par Mozilla
Région AWS pour AWS Certificate Manager
Pour utiliser un certificat dans AWS Certificate Manager (ACM) pour demander HTTPS entre spectateurs etCloudFront, assurez-vous de demander (ou d'importer) le certificat dans la région des États-Unis Est (Virginie du Nord) (us-east-1).
Si vous souhaitez exiger HTTPS entre CloudFront et votre origine, et que vous utilisez un équilibreur de charge dans Elastic Load Balancing comme origine, vous pouvez demander ou importer le certificat dans n'importe quel Région AWS type de certificat.
Format du certificat
Le certificat doit être au PEM format X.509. Il s’agit du format par défaut si vous utilisez AWS Certificate Manager.
Certificats intermédiaires
Si vous utilisez une autorité de certification tierce, indiquez tous les certificats intermédiaires dans la chaîne de certificats du fichier .pem, en commençant par celui de l’autorité de certification qui a signé le certificat de votre domaine. En règle générale, vous trouverez sur le site web de votre autorité de certification un fichier répertoriant les certificats racines et intermédiaires dans l’ordre approprié pour la chaîne.
Important
N’incluez par les éléments suivants : le certificat racine, les certificats intermédiaires non approuvés ou le certificat de la clé publique de votre autorité de certification.
Voici un exemple :
-----BEGIN CERTIFICATE-----Intermediate certificate 2-----END CERTIFICATE----- -----BEGIN CERTIFICATE-----Intermediate certificate 1-----END CERTIFICATE-----
Type de clé
CloudFront supports RSA et paires de clés ECDSA publique-privée.
CloudFront prend en charge les HTTPS connexions aux spectateurs et aux origines à l'aide RSA de ECDSA certificats. Avec AWS Certificate Manager
(ACM)
Pour les listes RSA des ECDSA chiffrements pris en charge par CloudFront ceux-ci, vous pouvez négocier dans HTTPS les connexions, voir Protocoles et chiffrements pris en charge entre les utilisateurs et CloudFront et. Protocoles et chiffrements pris en charge entre CloudFront et l'origine
Clé privée
Si vous utilisez un certificat d’une autorité de certification tierce, notez les points suivants :
-
La clé privée doit correspondre à la clé publique qui se trouve dans le certificat.
-
La clé privée doit être au PEM format.
-
La clé privée ne peut pas être chiffrée avec un mot de passe.
Si AWS Certificate Manager (ACM) a fourni le certificat, ACM ne libère pas la clé privée. La clé privée est stockée ACM pour être utilisée par les AWS services intégrés àACM.
Autorisations
Vous devez être autorisé à utiliser et à importer le TLS certificat SSL /. Si vous utilisez AWS Certificate Manager (ACM), nous vous recommandons d'utiliser AWS Identity and Access Management des autorisations pour restreindre l'accès aux certificats. Pour plus d’informations, consultez see Identity and Access Management dans le Guide de l’utilisateur AWS Certificate Manager .
Taille de la clé de certificat
La taille de clé de certificat CloudFront prise en charge dépend du type de clé et de certificat.
- Pour les RSA certificats :
-
CloudFront prend en charge les clés 1024 bits, 2048 bits, 3072 bits et 4096 bits. RSA La longueur de clé maximale pour un RSA certificat que vous utilisez CloudFront est de 4 096 bits.
Notez que les RSA certificats ACM sont émis avec des clés allant jusqu'à 2 048 bits. Pour utiliser un RSA certificat 3072 bits ou 4096 bits, vous devez obtenir le certificat en externe et l'importer dansACM, après quoi vous pourrez l'utiliser. CloudFront
Pour plus d'informations sur la manière de déterminer la taille d'une RSA clé, reportez-vous à la sectionDéterminer la taille de la clé publique dans un TLS RSA certificatSSL/.
- Pour les ECDSA certificats :
-
CloudFront prend en charge les clés de 256 bits. Pour utiliser un ECDSA certificat HTTPS entre utilisateurs CloudFront, utilisez la courbe elliptique prime256v1. ACM
Types de certificats pris en charge
CloudFront prend en charge tous les types de certificats émis par une autorité de certification fiable.
Date d’expiration de certificat et renouvellement
Si vous utilisez des certificats que vous obtenez d'une autorité de certification (CA) tierce, vous devez surveiller les dates d'expiration des certificats et renouveler les certificats que vous importez dans AWS Certificate Manager (ACM) ou que vous téléchargez dans le magasin de AWS Identity and Access Management certificats avant leur expiration.
Si vous utilisez des certificats ACM fournis, ACM gère les renouvellements de certificats pour vous. Pour plus d'informations, consultez Renouvellement géré dans le Guide de l'utilisateur AWS Certificate Manager .
Noms de domaine dans la CloudFront distribution et dans le certificat
Lorsque vous utilisez une origine personnalisée, le TLS certificatSSL/associé à votre origine inclut un nom de domaine dans le champ Common Name, et éventuellement plusieurs autres dans le champ Subject Alternative Names. (CloudFront prend en charge les caractères génériques dans les noms de domaine des certificats.)
L’un des noms de domaines du certificat doit correspondre au nom de domaine spécifié pour le nom du domaine d’origine. Si aucun nom de domaine ne correspond, CloudFront renvoie le code 502 (Bad Gateway) d'HTTPétat au lecteur.
Important
Lorsque vous ajoutez un autre nom de domaine à une distribution, CloudFront vérifiez que le nom de domaine alternatif est couvert par le certificat que vous avez joint. Le certificat doit couvrir le nom de domaine alternatif indiqué dans le champ sujet du nom alternatif (SAN) du certificat. Cela signifie que le SAN champ doit contenir une correspondance exacte avec le nom de domaine alternatif ou contenir un caractère générique au même niveau que le nom de domaine alternatif que vous ajoutez.
Pour de plus amples informations, veuillez consulter Exigences relatives à l’utilisation de noms de domaines alternatifs.
Version SSL minimale/version TLS du protocole
Si vous utilisez des adresses IP dédiées, définissez la version minimale du TLS protocoleSSL/pour la connexion entre les spectateurs et CloudFront choisissez une politique de sécurité.
Pour plus d’informations, consultez Politique de sécurité (SSLTLSminimum/version) dans la rubrique Référence des paramètres de distribution.
HTTPVersions prises en charge
Si vous associez un certificat à plusieurs CloudFront distributions, toutes les distributions associées au certificat doivent utiliser la même option pourHTTPVersions prises en charge. Vous spécifiez cette option lorsque vous créez ou mettez à jour une CloudFront distribution.
