Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Utilisation de noms de domaines alternatifs et HTTPS
Si vous souhaitez utiliser votre propre nom de domaine URLs pour vos fichiers (par exemple,`https://www.example.com/image.jpg`) et que vous souhaitez que vos lecteurs utilisent le protocole HTTPS, vous devez suivre les étapes décrites dans les rubriques suivantes. (Si vous utilisez le nom de domaine de CloudFront distribution par défaut dans votre URLs, par exemple`https://d111111abcdef8.cloudfront.net/image.jpg`, suivez plutôt les instructions de la rubrique suivante :[Exiger le protocole HTTPS pour la communication entre les spectateurs et CloudFront](using-https-viewers-to-cloudfront.md).)
**Important**
Lorsque vous ajoutez un certificat à votre distribution, le certificat est CloudFront immédiatement propagé à tous ses emplacements périphériques. Tandis que de nouveaux emplacements périphériques deviennent disponibles, CloudFront leur transmet également le certificat. Vous ne pouvez pas restreindre les emplacements périphériques vers lesquels les certificats sont CloudFront propagés.
**Topics**
+ [
# Choisissez le mode de CloudFront traitement des requêtes HTTPS
](cnames-https-dedicated-ip-or-sni.md)
+ [
# Exigences relatives à l'utilisation de SSL/TLS certificats avec CloudFront
](cnames-and-https-requirements.md)
+ [
# Quotas d'utilisation des SSL/TLS certificats avec CloudFront (HTTPS entre utilisateurs et CloudFront uniquement)
](cnames-and-https-limits.md)
+ [
# Configuration de noms de domaines alternatifs et HTTPS
](cnames-and-https-procedures.md)
+ [
# Déterminer la taille de la clé publique dans un certificat SSL/TLS RSA
](cnames-and-https-size-of-public-key.md)
+ [
# Augmenter les quotas de SSL/TLS certificats
](increasing-the-limit-for-ssl-tls-certificates.md)
+ [
# Rotation SSL/TLS des certificats
](cnames-and-https-rotate-certificates.md)
+ [
# Revenir d'un SSL/TLS certificat personnalisé au certificat par défaut CloudFront
](cnames-and-https-revert-to-cf-certificate.md)
+ [
# Passez d'un SSL/TLS certificat personnalisé avec adresses IP dédiées à un certificat SNI
](cnames-and-https-switch-dedicated-to-sni.md)
# Choisissez le mode de CloudFront traitement des requêtes HTTPS
Si vous souhaitez que vos utilisateurs utilisent le protocole HTTPS et utilisent des noms de domaine alternatifs pour vos fichiers, choisissez l'une des options suivantes pour le traitement CloudFront des requêtes HTTPS :
+ Utilisation de [Server Name Indication (SNI)](https://en.wikipedia.org/wiki/Server_Name_Indication) – recommandée
+ Utilisez une adresse IP dédiée dans chaque emplacement périphérique
Cette section explique le mode de fonctionnement de chaque option.
## Utilisation d’une extension SNI pour traiter les demandes HTTPS (fonctionne pour la plupart des clients)
[Server Name Indication (SNI)](https://en.wikipedia.org/wiki/Server_Name_Indication) est une extension du protocole TLS prise en charge par les navigateurs et les clients lancés après 2010. Si vous configurez CloudFront pour répondre aux demandes HTTPS à l'aide du SNI, CloudFront associez votre nom de domaine alternatif à une adresse IP pour chaque emplacement périphérique. Lorsqu’un utilisateur envoie une demande HTTPS pour votre contenu, DNS achemine la demande vers l’adresse IP de l’emplacement périphérique correct. L'adresse IP de votre nom de domaine est déterminée lors de la négociation de la SSL/TLS poignée de main ; l'adresse IP n'est pas dédiée à votre distribution.
La SSL/TLS négociation a lieu au début du processus d'établissement d'une connexion HTTPS. S'il n'est pas CloudFront possible de déterminer immédiatement à quel domaine la demande est destinée, la connexion est interrompue. Lorsqu’une visionneuse prenant en charge SNI envoie une requête HTTPS pour obtenir votre contenu, voici ce qui se passe :
1. L’utilisateur récupère automatiquement le nom de domaine à partir de l’URL de la demande et l’ajoute à l’extension SNI du message TLS client hello.
1. Lorsqu'il CloudFront reçoit le client TLS hello, il utilise le nom de domaine de l'extension SNI pour trouver la CloudFront distribution correspondante et renvoie le certificat TLS associé.
1. Le spectateur et les CloudFront SSL/TLS négociateurs.
1. CloudFront renvoie le contenu demandé au spectateur.
Pour une liste actuelle des navigateurs qui prennent en charge l’extension SNI, consultez l’entrée [Server Name Indication](https://en.wikipedia.org/wiki/Server_Name_Indication) de Wikipedia.
Si vous souhaitez utiliser l’extension SNI mais que certains navigateurs de vos utilisateurs ne la prennent pas en charge, vous disposez des solutions suivantes :
+ Configurez CloudFront pour répondre aux requêtes HTTPS en utilisant des adresses IP dédiées au lieu du SNI. Pour de plus amples informations, veuillez consulter [Utilisation d’une adresse IP dédiée pour traiter les demandes HTTPS (fonctionne pour tous les clients)](#cnames-https-dedicated-ip).
+ Utilisez le certificat CloudFront SSL/TLS au lieu d'un certificat personnalisé. Cela nécessite que vous utilisiez le nom de CloudFront domaine de votre distribution dans celui URLs de vos fichiers, par exemple,`https://d111111abcdef8.cloudfront.net/logo.png`.
Si vous utilisez le CloudFront certificat par défaut, les utilisateurs doivent prendre en charge le protocole SSL TLSv1 ou une version ultérieure. CloudFront n'est pas compatible SSLv3 avec le CloudFront certificat par défaut.
Vous devez également remplacer le SSL/TLS certificat CloudFront utilisé par le certificat personnalisé par le CloudFront certificat par défaut :
+ Si vous n’avez pas utilisé votre distribution pour transmettre votre contenu, vous pouvez juste modifier la configuration. Pour de plus amples informations, veuillez consulter [Mettre à jour une distribution](HowToUpdateDistribution.md).
+ Si vous avez utilisé votre distribution pour distribuer votre contenu, vous devez créer une nouvelle CloudFront distribution et modifier la URLs distribution de vos fichiers afin de réduire ou d'éliminer le temps pendant lequel votre contenu n'est pas disponible. Pour de plus amples informations, veuillez consulter [Revenir d'un SSL/TLS certificat personnalisé au certificat par défaut CloudFront](cnames-and-https-revert-to-cf-certificate.md).
+ Si vous pouvez contrôler le navigateur employé par vos utilisateurs, demandez-leur de mettre leur navigateur à niveau afin qu’il accepte l’extension SNI.
+ Utilisez HTTP au lieu de HTTPS.
## Utilisation d’une adresse IP dédiée pour traiter les demandes HTTPS (fonctionne pour tous les clients)
L’utilisation d’une extension SNI (Server Name Indication) est une façon d’associer une demande à un domaine. Une autre méthode consiste à utiliser une adresse IP dédiée. Si vous avez des utilisateurs qui ne peuvent pas effectuer une mise à niveau vers un navigateur ou un client lancé après 2010, vous pouvez utiliser une adresse IP dédiée pour servir les demandes HTTPS. Pour une liste actuelle des navigateurs qui prennent en charge l’extension SNI, consultez l’entrée [Server Name Indication](https://en.wikipedia.org/wiki/Server_Name_Indication) de Wikipedia.
**Important**
Si vous configurez CloudFront pour répondre aux requêtes HTTPS à l'aide d'adresses IP dédiées, vous devrez payer des frais mensuels supplémentaires. Les frais commencent lorsque vous associez votre SSL/TLS certificat à une distribution et que vous activez la distribution. Pour plus d'informations sur CloudFront les tarifs, consultez [Amazon CloudFront Pricing](https://aws.amazon.com/cloudfront/pricing). Consultez également [Using the Same Certificate for Multiple CloudFront Distributions](cnames-and-https-limits.md#cnames-and-https-same-certificate-multiple-distributions).
Lorsque vous configurez CloudFront pour répondre aux demandes HTTPS à l'aide d'adresses IP dédiées, CloudFront associez votre certificat à une adresse IP dédiée dans chaque emplacement CloudFront périphérique. Lorsqu’une visionneuse envoie une requête HTTPS pour obtenir votre contenu, voici ce qui se passe :
1. DNS achemine la requête à l’adresse IP de votre distribution dans l’emplacement périphérique concerné.
1. Si une demande du client fournit l'extension SNI dans le `ClientHello` message, CloudFront recherche une distribution associée à ce SNI.
+ S'il y a une correspondance, CloudFront répond à la demande avec le certificat SSL/TLS.
+ S'il n'y a pas de correspondance, CloudFront utilise plutôt l'adresse IP pour identifier votre distribution et pour déterminer le certificat SSL/TLS à renvoyer au lecteur.
1. Le visualiseur et CloudFront effectuez la SSL/TLS négociation à l'aide de votre certificat SSL/TLS.
1. CloudFront renvoie le contenu demandé au spectateur.
Cette méthode fonctionne pour toutes les requêtes HTTPS, quel que soit le navigateur ou autre client employé par l’utilisateur.
**Note**
IPs Les objets dédiés ne sont pas statiques IPs et peuvent changer au fil du temps. L'adresse IP renvoyée pour l'emplacement périphérique est allouée dynamiquement à partir des plages d'adresses IP de la [liste des serveurs CloudFront périphériques](LocationsOfEdgeServers.md).
Les plages d'adresses IP pour les serveurs CloudFront Edge sont sujettes à modification. Pour être informé des modifications d'adresse IP, [abonnez-vous à la section Changements d'adresse IP AWS publique via Amazon SNS](https://aws.amazon.com/blogs/aws/subscribe-to-aws-public-ip-address-changes-via-amazon-sns/).
## Demander l'autorisation d'utiliser au moins trois SSL/TLS certificats IP dédiés
Si vous avez besoin d'une autorisation pour associer de manière permanente au moins trois certificats IP dédiés SSL/TLS CloudFront, effectuez la procédure suivante. Pour de plus amples informations sur les requêtes HTTPS, consultez [Choisissez le mode de CloudFront traitement des requêtes HTTPS](#cnames-https-dedicated-ip-or-sni).
**Note**
Cette procédure permet d'utiliser au moins trois certificats IP dédiés dans vos CloudFront distributions. La valeur par défaut est 2. N’oubliez pas que vous ne pouvez pas lier plusieurs certificats SSL à une distribution.
Vous ne pouvez associer qu'un seul SSL/TLS certificat à une CloudFront distribution à la fois. Ce nombre correspond au nombre total de certificats IP SSL dédiés que vous pouvez utiliser dans toutes vos CloudFront distributions.
**Pour demander l'autorisation d'utiliser trois certificats ou plus avec une CloudFront distribution**
1. Accédez au [Centre de support et créez une demande](https://console.aws.amazon.com/support/home?#/case/create?issueType=service-limit-increase&limitType=service-code-cloudfront-distributions).
1. Indiquez le nombre de certificats dont vous avez besoin et décrivez les circonstances de votre demande. Nous mettrons votre compte à jour dès que possible.
1. Poursuivez avec la procédure suivante.
# Exigences relatives à l'utilisation de SSL/TLS certificats avec CloudFront
Les exigences relatives aux SSL/TLS certificats sont décrites dans cette rubrique. Elles s’appliquent, sauf indication contraire, aux deux certificats suivants :
+ Certificats pour l'utilisation du protocole HTTPS entre les utilisateurs et CloudFront
+ Certificats pour l'utilisation du protocole HTTPS entre CloudFront et votre origine
**Topics**
+ [
## Auteur du certificat
](#https-requirements-certificate-issuer)
+ [
## Région AWS pour AWS Certificate Manager
](#https-requirements-aws-region)
+ [
## Format du certificat
](#https-requirements-certificate-format)
+ [
## Certificats intermédiaires
](#https-requirements-intermediate-certificates)
+ [
## Type de clé
](#https-requirements-key-type)
+ [
## Clé privée
](#https-requirements-private-key)
+ [
## Permissions
](#https-requirements-permissions)
+ [
## Taille de la clé de certificat
](#https-requirements-size-of-public-key)
+ [
## Types de certificats pris en charge
](#https-requirements-supported-types)
+ [
## Date d’expiration de certificat et renouvellement
](#https-requirements-cert-expiration)
+ [
## Noms de domaine dans la CloudFront distribution et dans le certificat
](#https-requirements-domain-names-in-cert)
+ [
## Version minimale SSL/TLS du protocole
](#https-requirements-minimum-ssl-protocol-version)
+ [
## Versions de HTTP prises en charge
](#https-requirements-supported-http-versions)
## Auteur du certificat
Nous vous recommandons d’utiliser un certificat public délivré par [AWS Certificate Manager (ACM)](https://aws.amazon.com/certificate-manager/). Pour plus d’informations sur l’obtention d’un certificat auprès d’ACM, reportez-vous au *[Guide de l’utilisateur AWS Certificate Manager](https://docs.aws.amazon.com/acm/latest/userguide/)*. Pour utiliser un certificat ACM avec une CloudFront distribution, assurez-vous de demander (ou d'importer) le certificat dans la région USA Est (Virginie du Nord) (`us-east-1`).
CloudFront prend en charge les mêmes autorités de certification (CAs) que Mozilla. Par conséquent, si vous n'utilisez pas ACM, utilisez un certificat émis par une autorité de certification figurant sur la [liste des certificats d'autorité de certification inclus par Mozilla](https://wiki.mozilla.org/CA/Included_Certificates).
Les certificats TLS utilisés par l'origine que vous avez spécifiée pour votre CloudFront distribution doivent également être émis par l'autorité de certification figurant sur la liste des certificats d'autorité de certification inclus par Mozilla.
Pour plus de détails sur l’obtention et l’installation d’un certificat, consultez la documentation du logiciel de votre serveur HTTP et celle de l’autorité de certification.
## Région AWS pour AWS Certificate Manager
Pour utiliser un certificat dans AWS Certificate Manager (ACM) afin d'exiger le protocole HTTPS entre les utilisateursCloudFront, assurez-vous de demander (ou d'importer) le certificat dans la région de l'est des États-Unis (Virginie du Nord) (`us-east-1`).
Si vous souhaitez exiger le protocole HTTPS entre CloudFront et votre origine, et que vous utilisez un équilibreur de charge dans Elastic Load Balancing comme origine, vous pouvez demander ou importer le certificat dans n'importe quel Région AWS type de certificat.
## Format du certificat
Le certificat doit être au format PEM X.509. Il s’agit du format par défaut si vous utilisez AWS Certificate Manager.
## Certificats intermédiaires
Si vous utilisez une autorité de certification tierce, indiquez tous les certificats intermédiaires dans la chaîne de certificats du fichier `.pem`, en commençant par celui de l’autorité de certification qui a signé le certificat de votre domaine. En règle générale, vous trouverez sur le site web de votre autorité de certification un fichier répertoriant les certificats racines et intermédiaires dans l’ordre approprié pour la chaîne.
**Important**
N’incluez par les éléments suivants : le certificat racine, les certificats intermédiaires non approuvés ou le certificat de la clé publique de votre autorité de certification.
Voici un exemple :
```
-----BEGIN CERTIFICATE-----
Intermediate certificate 2
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Intermediate certificate 1
-----END CERTIFICATE-----
```
## Type de clé
CloudFront prend en charge les paires de clés publiques-privées RSA et ECDSA.
CloudFront prend en charge les connexions HTTPS aux utilisateurs et aux origines à l'aide de certificats RSA et ECDSA. Avec [AWS Certificate Manager (ACM)](https://console.aws.amazon.com/acm), vous pouvez demander et importer des certificats RSA ou ECDSA, puis les associer à votre distribution. CloudFront
Pour obtenir la liste des chiffrements RSA et ECDSA pris en charge par ces protocoles CloudFront que vous pouvez négocier dans le cadre de connexions HTTPS, consultez et. [Protocoles et chiffrements pris en charge entre les utilisateurs et CloudFront](secure-connections-supported-viewer-protocols-ciphers.md) [Protocoles et chiffrements pris en charge entre CloudFront et l'origine](secure-connections-supported-ciphers-cloudfront-to-origin.md)
## Clé privée
Si vous utilisez un certificat d’une autorité de certification tierce, notez les points suivants :
+ La clé privée doit correspondre à la clé publique qui se trouve dans le certificat.
+ La clé privée doit être au format PEM.
+ La clé privée ne peut pas être chiffrée avec un mot de passe.
Si AWS Certificate Manager (ACM) a fourni le certificat, ACM ne libère pas la clé privée. La clé privée est stockée dans ACM pour être utilisée par les AWS services intégrés à ACM.
## Permissions
Vous devez être autorisé à utiliser et à importer le SSL/TLS certificat. Si vous utilisez AWS Certificate Manager (ACM), nous vous recommandons d'utiliser Gestion des identités et des accès AWS des autorisations pour restreindre l'accès aux certificats. Pour plus d’informations, consultez [Gestion des identités et des accès](https://docs.aws.amazon.com/acm/latest/userguide/security-iam.html) dans le *Guide de l’utilisateur AWS Certificate Manager *.
## Taille de la clé de certificat
La taille de clé de certificat CloudFront prise en charge dépend du type de clé et de certificat.
**Pour les certificats RSA :**
CloudFront prend en charge les clés RSA 1024 bits, 2048 bits, 3072 bits et 4096 bits. La longueur de clé maximale pour un certificat RSA que vous utilisez CloudFront est de 4 096 bits.
Notez qu’ACM émet des certificats RSA avec des clés limitées à 2 048 bits. Pour utiliser un certificat RSA 3072 bits ou 4096 bits, vous devez obtenir le certificat en externe et l'importer dans ACM, après quoi vous pourrez l'utiliser. CloudFront
Pour en savoir plus sur la façon de déterminer la taille d’une clé RSA, consultez [Déterminer la taille de la clé publique dans un certificat SSL/TLS RSA](cnames-and-https-size-of-public-key.md).
**Pour les certificats ECDSA :**
CloudFront prend en charge les clés de 256 bits. Pour utiliser un certificat ECDSA dans ACM afin d'exiger le protocole HTTPS entre les utilisateurs CloudFront, utilisez la courbe elliptique prime256v1.
## Types de certificats pris en charge
CloudFront prend en charge tous les types de certificats émis par une autorité de certification fiable.
## Date d’expiration de certificat et renouvellement
Si vous utilisez des certificats que vous obtenez d'une autorité de certification (CA) tierce, vous devez surveiller les dates d'expiration des certificats et renouveler les certificats que vous importez dans AWS Certificate Manager (ACM) ou que vous téléchargez dans le magasin de Gestion des identités et des accès AWS certificats avant leur expiration.
**Important**
Pour éviter les problèmes liés à l’expiration d’un certificat, renouvelez ou réimportez votre certificat au moins 24 heures avant la valeur `NotAfter` de votre certificat actuel. Si votre certificat expire dans les 24 heures, demandez un nouveau certificat à ACM ou importez-en un nouveau dans ACM. Associez ensuite le nouveau certificat à la CloudFront distribution.
CloudFront peut continuer à utiliser le certificat précédent pendant que le renouvellement ou la réimportation de votre certificat est en cours. Il s'agit d'un processus asynchrone qui peut prendre jusqu'à 24 heures avant que vos modifications ne CloudFront soient affichées.
Si vous utilisez des certificats fournis par ACM, ACM gère automatiquement le renouvellement des certificats. Pour plus d'informations, consultez [Renouvellement géré](https://docs.aws.amazon.com/acm/latest/userguide/managed-renewal.html) dans le *Guide de l'utilisateur AWS Certificate Manager *.
## Noms de domaine dans la CloudFront distribution et dans le certificat
Lorsque vous utilisez une origine personnalisée, le SSL/TLS certificat associé à votre origine inclut un nom de domaine dans le champ **Nom commun**, et éventuellement plusieurs autres dans le champ **Noms alternatifs du sujet**. (CloudFront prend en charge les caractères génériques dans les noms de domaine des certificats.)
L’un des noms de domaines du certificat doit correspondre au nom de domaine spécifié pour le nom du domaine d’origine. Si aucun nom de domaine ne correspond, CloudFront renvoie le code `502 (Bad Gateway)` d'état HTTP au lecteur.
**Important**
Lorsque vous ajoutez un autre nom de domaine à une distribution, CloudFront vérifiez que le nom de domaine alternatif est couvert par le certificat que vous avez joint. Le certificat doit couvrir le nom de domaine alternatif dans le champ SAN du certificat. Cela signifie que le champ SAN doit contenir une correspondance exacte pour le nom de domaine alternatif ou un caractère générique au même niveau que le nom de domaine alternatif que vous ajoutez.
Pour de plus amples informations, veuillez consulter [Exigences relatives à l’utilisation de noms de domaines alternatifs](CNAMEs.md#alternate-domain-names-requirements).
## Version minimale SSL/TLS du protocole
Si vous utilisez des adresses IP dédiées, définissez la version minimale SSL/TLS du protocole pour la connexion entre les utilisateurs et CloudFront choisissez une politique de sécurité.
Pour plus d’informations, consultez [Politique de sécurité ( SSL/TLS version minimale)](DownloadDistValuesGeneral.md#DownloadDistValues-security-policy) dans la rubrique [Référence de tous les paramètres de distribution](distribution-web-values-specify.md).
## Versions de HTTP prises en charge
Si vous associez un certificat à plusieurs CloudFront distributions, toutes les distributions associées au certificat doivent utiliser la même option pour[Versions de HTTP prises en charge](DownloadDistValuesGeneral.md#DownloadDistValuesSupportedHTTPVersions). Vous spécifiez cette option lorsque vous créez ou mettez à jour une CloudFront distribution.
# Quotas d'utilisation des SSL/TLS certificats avec CloudFront (HTTPS entre utilisateurs et CloudFront uniquement)
Notez les quotas suivants concernant l'utilisation de SSL/TLS certificats avecCloudFront. Ces quotas s'appliquent uniquement aux SSL/TLS certificats que vous fournissez à l'aide de AWS Certificate Manager (ACM), que vous importez dans ACM ou que vous téléchargez dans le magasin de certificats IAM pour les communications HTTPS entre les utilisateurs et. CloudFront
Pour de plus amples informations, veuillez consulter [Augmenter les quotas de SSL/TLS certificats](increasing-the-limit-for-ssl-tls-certificates.md).
**Nombre maximum de certificats par CloudFront distribution**
Vous pouvez associer un SSL/TLS certificat au maximum à chaque CloudFront distribution.
**Nombre maximal de certificats que vous pouvez importer dans ACM ou télécharger dans le magasin de certificats IAM**
Si vous avez obtenu vos SSL/TLS certificats auprès d'une autorité de certification tierce, vous devez les stocker dans l'un des emplacements suivants :
+ **AWS Certificate Manager** – Pour connaître le quota actuel sur le nombre de certificats ACM, consultez [Quotas](https://docs.aws.amazon.com/acm/latest/userguide/acm-limits.html) dans le *Guide de l’utilisateur AWS Certificate Manager *. Le quota indiquée est un total qui inclut les certificats que vous mettez en service à l’aide d’ACM et les certificats que vous importez dans ACM.
+ **Magasin de certificats IAM** : pour connaître le quota actuel (anciennement connu sous le nom de limite) du nombre de certificats que vous pouvez télécharger vers le magasin de certificats IAM pour un AWS compte, consultez la section [Limites IAM et STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-limits.html) dans le guide de l'utilisateur *IAM*. Vous pouvez demander une augmentation de quota dans la console Service Quotas.
**Nombre maximum de certificats par AWS compte (adresses IP dédiées uniquement)**
Si vous souhaitez diffuser des requêtes HTTPS en utilisant des adresses IP dédiées, notez les points suivants :
+ Par défaut, vous CloudFront autorise à utiliser deux certificats avec votre AWS compte, l'un pour un usage quotidien et l'autre pour les cas où vous devez alterner les certificats pour plusieurs distributions.
+ Si vous avez besoin de plus de deux SSL/TLS certificats personnalisés pour votre AWS compte, vous pouvez demander un quota plus élevé dans la console Service Quotas.
**Utilisez le même certificat pour les CloudFront distributions créées à l'aide de AWS comptes différents**
Si vous utilisez une autorité de certification tierce et que vous souhaitez utiliser le même certificat avec plusieurs CloudFront distributions créées à l'aide de AWS comptes différents, vous devez importer le certificat dans ACM ou le télécharger dans le magasin de certificats IAM une fois pour chaque AWS compte.
Si vous utilisez des certificats fournis par ACM, vous ne pouvez pas configurer CloudFront pour utiliser des certificats créés par un autre AWS compte.
**Utiliser le même certificat pour CloudFront et pour les autres AWS services**
Si vous avez acheté un certificat auprès d'une autorité de certification fiable telle que Comodo ou Symantec, vous pouvez utiliser le même certificat pour CloudFront et pour d'autres AWS services. DigiCert Si vous importez le certificat dans ACM, vous ne devez l’importer qu’une seule fois pour l’utiliser pour plusieurs services AWS .
Si vous utilisez les certificats fournis par ACM, ces certificats sont stockés dans ACM.
**Utiliser le même certificat pour plusieurs CloudFront distributions**
Vous pouvez utiliser le même certificat pour tout ou partie des distributions CloudFront que vous utilisez pour diffuser les requêtes HTTPS. Notez ce qui suit :
+ Vous pouvez utiliser le même certificat pour diffuser les requêtes utilisant des adresses IP dédiées et pour celles utilisant l’extension SNI.
+ Vous ne pouvez associer qu’un seul certificat à chaque distribution.
+ Chaque distribution doit inclure un ou plusieurs noms de domaines alternatifs qui apparaissent aussi dans les champs **Common Name** ou **Subject Alternative Name** du certificat.
+ Si vous envoyez des requêtes HTTPS à l'aide d'adresses IP dédiées et que vous avez créé toutes vos distributions en utilisant le même AWS compte, vous pouvez réduire considérablement vos coûts en utilisant le même certificat pour toutes les distributions. CloudFront des frais pour chaque certificat, et non pour chaque distribution.
Supposons, par exemple, que vous créez trois distributions en utilisant le même AWS compte et que vous utilisiez le même certificat pour les trois distributions. Un seul montant correspondant à l’usage des adresses IP dédiées vous sera facturé.
Toutefois, si vous envoyez des requêtes HTTPS à l'aide d'adresses IP dédiées et que vous utilisez le même certificat pour créer CloudFront des distributions sur différents AWS comptes, les frais d'utilisation des adresses IP dédiées sont facturés à chaque compte. Par exemple, si vous créez trois distributions en utilisant trois AWS comptes différents et que vous utilisez le même certificat pour les trois distributions, les frais d'utilisation des adresses IP dédiées sont facturés à chaque compte.
# Configuration de noms de domaines alternatifs et HTTPS
Pour utiliser des noms de domaine alternatifs dans vos fichiers et URLs pour utiliser le protocole HTTPS entre les utilisateurs CloudFront, suivez les procédures applicables.
**Topics**
+ [
## Obtenir un SSL/TLS certificat
](#cnames-and-https-getting-certificates)
+ [
## Importer un SSL/TLS certificat
](#cnames-and-https-uploading-certificates)
+ [
## Mettez à jour votre CloudFront distribution
](#cnames-and-https-updating-cloudfront)
## Obtenir un SSL/TLS certificat
Obtenez un SSL/TLS certificat si vous n'en avez pas déjà un. Pour plus d'informations, consultez la documentation pertinente :
+ Pour utiliser un certificat fourni par AWS Certificate Manager (ACM), consultez le [guide de l'AWS Certificate Manager utilisateur](https://docs.aws.amazon.com/acm/latest/userguide/). Passez ensuite à [Mettez à jour votre CloudFront distribution](#cnames-and-https-updating-cloudfront).
**Note**
Nous vous recommandons d'utiliser ACM pour provisionner, gérer et déployer des SSL/TLS certificats sur des ressources AWS gérées. Vous devez demander un certificat ACM dans la région USA Est (Virginie du Nord).
+ Pour obtenir un certificat auprès d’une autorité de certification tierce, consultez la documentation fournie par l’autorité de certification. Lorsque vous avez obtenu le certificat, passez à la procédure suivante.
## Importer un SSL/TLS certificat
Si vous avez obtenu votre certificat auprès d’une autorité de certification tierce, importez-le dans ACM ou chargez-le dans le magasin de certificats IAM :
**ACM (recommandé)**
ACM vous permet d’importer des certificats tiers à partir de la console ACM, ainsi que par programmation. Pour plus d’informations sur l’importation d’un certificat dans ACM, consultez [Importation de certificats dans AWS Certificate Manager](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate.html) dans le *Guide de l’utilisateur AWS Certificate Manager *. Vous devez importer le certificat dans la région USA Est (Virginie du Nord).
**Magasin de certificats IAM**
(Non recommandé) Utilisez la AWS CLI commande suivante pour télécharger votre certificat tiers dans le magasin de certificats IAM.
```
aws iam upload-server-certificate \
--server-certificate-name CertificateName \
--certificate-body file://public_key_certificate_file \
--private-key file://privatekey.pem \
--certificate-chain file://certificate_chain_file \
--path /cloudfront/path/
```
Notez ce qui suit :
+ **AWS compte** : vous devez télécharger le certificat dans le magasin de certificats IAM en utilisant le même AWS compte que celui que vous avez utilisé pour créer votre CloudFront distribution.
+ **Paramètre --path** : lorsque vous chargez le certificat dans IAM, la valeur du paramètre `--path` (chemin du certificat) doit commencer par `/cloudfront/`, comme `/cloudfront/production/` ou `/cloudfront/test/`. Le chemin doit se terminer par un caractère /.
+ **Certificats existants** : vous devez affecter aux paramètres `--server-certificate-name` et `--path` des valeurs différentes de celles qui sont associées aux certificats existants.
+ **Utilisation de la CloudFront console** — La valeur que vous spécifiez pour le `--server-certificate-name` paramètre dans AWS CLI, par exemple`myServerCertificate`, apparaît dans la liste des **certificats SSL** de la CloudFront console.
+ **Utilisation de l' CloudFront API** — Prenez note de la chaîne alphanumérique AWS CLI renvoyée, `AS1A2M3P4L5E67SIIXR3J` par exemple. Il s’agit de la valeur que vous spécifierez dans l’élément `IAMCertificateId`. Vous n’avez pas besoin de l’ARN IAM, que renvoie également la CLI.
Pour plus d'informations sur le AWS CLI, consultez le [guide de l'AWS Command Line Interface utilisateur](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) et le manuel de [référence des AWS CLI commandes](https://docs.aws.amazon.com/cli/latest/reference/).
## Mettez à jour votre CloudFront distribution
Pour mettre à jour les paramètres de votre distribution, procédez comme suit :
**Pour configurer votre CloudFront distribution pour les noms de domaine alternatifs**
1. Connectez-vous à la CloudFront console AWS Management Console et ouvrez-la à l'adresse[https://console.aws.amazon.com/cloudfront/v4/home](https://console.aws.amazon.com/cloudfront/v4/home).
1. Choisissez l’ID de la distribution que vous souhaitez mettre à jour.
1. Sous l’onglet **General**, choisissez **Edit**.
1. Mettez à jour les valeurs suivantes :
**Nom de domaine alternatif (CNAME)**
Choisissez **Ajouter un élément** pour ajouter les noms de domaine alternatifs applicables. Séparez les noms de domaines par des virgules ou saisissez chaque nom de domaine sur une nouvelle ligne.
**Certificat SSL personnalisé**
Sélectionnez un certificat dans la liste déroulante.
Jusqu’à 100 certificats sont répertoriés ici. Si vous avez plus de 100 certificats et que vous ne voyez pas le certificat que vous souhaitez ajouter, vous pouvez taper un nom ARN de certificat dans le champ pour le choisir.
Si vous avez chargé un certificat dans le magasin de certificats IAM mais qu’il n’apparaît pas dans la liste et que vous ne pouvez pas le choisir en tapant son nom dans le champ, revoyez la procédure [Importer un SSL/TLS certificat](#cnames-and-https-uploading-certificates) afin de vérifier si vous avez bien chargé le certificat.
Après avoir associé votre SSL/TLS certificat à votre CloudFront distribution, ne le supprimez pas d'ACM ou du magasin de certificats IAM tant que vous n'avez pas retiré le certificat de toutes les distributions et que toutes les distributions n'ont pas été déployées.
1. Sélectionnez **Enregistrer les modifications**.
1. Configurez CloudFront pour exiger le protocole HTTPS entre les spectateurs et CloudFront :
1. Sous l’onglet **Comportements**, choisissez le comportement de cache à mettre à jour, puis sélectionnez **Modifier**.
1. Spécifiez l’une des valeurs suivantes pour **Politique de protocole d’utilisateur** :
**Redirect HTTP to HTTPS**
Les utilisateurs peuvent utiliser les deux protocoles, mais les requêtes HTTP sont automatiquement redirigées vers les requêtes HTTPS. CloudFront renvoie le code d'état HTTP `301 (Moved Permanently)`, ainsi que la nouvelle URL HTTPS. Le téléspectateur soumet ensuite à nouveau la demande à CloudFront l'aide de l'URL HTTPS.
CloudFront ne redirige pas `DELETE``OPTIONS`,`PATCH`,`POST`, ou les `PUT` requêtes de HTTP vers HTTPS. Si vous configurez un comportement de cache pour rediriger vers HTTPS, vous CloudFront répondez au HTTP`DELETE`,`OPTIONS`, `PATCH``POST`, ou aux `PUT` demandes relatives à ce comportement de cache avec un code d'état HTTP`403 (Forbidden)`.
Lorsqu'un utilisateur fait une requête HTTP qui est redirigée vers une requête HTTPS, les deux requêtes sont CloudFront facturées. Pour la requête HTTP, le montant correspond uniquement à la requête et aux en-têtes que CloudFront renvoie à l'utilisateur. Pour la requête HTTPS, le montant correspond à la requête ainsi qu’aux en-têtes et au fichier renvoyés par votre origine.
**HTTPS Only**
Les visionneuses ne peuvent accéder au contenu que si elles utilisent le protocole HTTPS. Si un utilisateur envoie une requête HTTP au lieu d'une requête HTTPS, il CloudFront renvoie le code d'état HTTP `403 (Forbidden)` et ne renvoie pas le fichier.
1. Choisissez **Oui, Modifier**.
1. Répétez les étapes a à c pour chaque comportement de cache supplémentaire pour lequel vous souhaitez exiger HTTPS entre les visionneuses et CloudFront.
1. Vérifiez les éléments suivants avant d’utiliser la configuration mise à jour dans un environnement de production :
+ Le modèle de chemin de chaque comportement de cache s’applique uniquement aux requêtes pour lesquelles vous souhaitez que les visionneuses utilisent HTTPS.
+ Les comportements de cache sont répertoriés dans l'ordre dans lequel vous voulez que CloudFront les évalue. Pour de plus amples informations, veuillez consulter [Modèle de chemin](DownloadDistValuesCacheBehavior.md#DownloadDistValuesPathPattern).
+ Les comportements de cache acheminent les requêtes vers les origines correctes.
# Déterminer la taille de la clé publique dans un certificat SSL/TLS RSA
Lorsque vous utilisez des noms de domaine CloudFront alternatifs et le protocole HTTPS, la taille maximale de la clé publique d'un certificat SSL/TLS RSA est de 4 096 bits. (Il s’agit de la taille de la clé, et non pas du nombre de caractères figurant dans la clé publique.) Si vous utilisez AWS Certificate Manager pour vos certificats, bien qu'ACM prenne en charge les clés RSA de plus grande taille, vous ne pouvez pas utiliser les clés les plus grandes avec. CloudFront
Vous pouvez déterminer la taille de la clé publique RSA en exécutant la commande OpenSSL suivante :
```
openssl x509 -in path and filename of SSL/TLS certificate -text -noout
```
Où :
+ `-in`indique le chemin et le nom de fichier de votre certificat SSL/TLS RSA.
+ `-text` permet à OpenSSL d’afficher la longueur de la clé publique RSA en bits.
+ `-noout` empêche OpenSSL d’afficher la clé publique.
Exemple de sortie :
```
Public-Key: (2048 bit)
```
# Augmenter les quotas de SSL/TLS certificats
Il existe des quotas quant au nombre de SSL/TLS certificats que vous pouvez importer dans AWS Certificate Manager (ACM) ou télécharger vers Gestion des identités et des accès AWS (IAM). Il existe également un quota sur le nombre de SSL/TLS certificats que vous pouvez utiliser avec et Compte AWS lorsque vous configurez CloudFront pour répondre aux requêtes HTTPS en utilisant des adresses IP dédiées. Cependant, vous pouvez demander des quotas plus élevés.
**Topics**
+ [
## Augmentation du quota de certificats importés dans ACM
](#certificates-to-import-into-acm)
+ [
## Augmentation du quota de certificats téléchargés vers IAM
](#certificates-to-upload-into-iam)
+ [
## Augmentation du quota de certificats utilisés avec des adresses IP dédiées
](#certificates-using-dedicated-ip-address)
## Augmentation du quota de certificats importés dans ACM
Pour connaître le quota du nombre de certificats que vous pouvez importer dans ACM, consultez la page [Quotas](https://docs.aws.amazon.com/acm/latest/userguide/acm-limits.html) dans le *Guide de l’utilisateur AWS Certificate Manager *.
Pour demander l’augmentation d’un quota, utilisez la console Service Quotas. Pour plus d’informations, consultez [Demande d’augmentation de quota](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-quota-increase.html) dans le *Guide de l’utilisateur Service Quotas*.
## Augmentation du quota de certificats téléchargés vers IAM
Pour connaître le quota (auparavant appelé limite) lié au nombre de certificats que vous pouvez charger dans IAM, consultez [Limites IAM et STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-limits.html) dans le *Guide de l’utilisateur IAM*.
Pour demander l’augmentation d’un quota, utilisez la console Service Quotas. Pour plus d’informations, consultez [Demande d’augmentation de quota](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-quota-increase.html) dans le *Guide de l’utilisateur Service Quotas*.
## Augmentation du quota de certificats utilisés avec des adresses IP dédiées
Pour connaître le quota du nombre de certificats SSL que vous pouvez utiliser pour chacun Compte AWS lorsque vous répondez à des requêtes HTTPS à l'aide d'adresses IP dédiées, consultez[Quotas sur les certificats SSL](cloudfront-limits.md#limits-ssl-certificates).
Pour demander l’augmentation d’un quota, utilisez la console Service Quotas. Pour plus d’informations, consultez [Demande d’augmentation de quota](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-quota-increase.html) dans le *Guide de l’utilisateur Service Quotas*.
# Rotation SSL/TLS des certificats
Lorsque vos SSL/TLS certificats sont sur le point d'expirer, vous devez les alterner pour garantir la sécurité de votre distribution et éviter toute interruption de service pour vos spectateurs. Vous pouvez effectuer leur rotation selon les méthodes suivantes :
+ Pour les SSL/TLS certificats fournis par AWS Certificate Manager (ACM), il n'est pas nécessaire de les faire pivoter. ACM gère *automatiquement* le renouvellement des certificats. Pour plus d’informations, consultez [Renouvellement géré des certificats](https://docs.aws.amazon.com/acm/latest/userguide/acm-renewal.html) dans le *Guide de l’utilisateur AWS Certificate Manager *.
+ Si vous utilisez une autorité de certification tierce et que vous avez importé des certificats dans ACM (recommandé) ou que vous en avez chargé dans le magasin de certificats IAM, vous devez parfois remplacer un certificat par un autre.
**Important**
ACM ne gère pas le renouvellement des certificats que vous obtenez auprès d’autorités de certification tierces et importez dans ACM.
Si vous avez configuré CloudFront pour traiter les requêtes HTTPS à l'aide d'adresses IP dédiées, l'utilisation d'un ou de plusieurs certificats supplémentaires peut vous être facturée au prorata pendant la rotation des certificats. Nous vous recommandons de mettre à jour vos distributions pour réduire les frais supplémentaires.
## Rotation SSL/TLS des certificats
Pour faire tourner vos certificats, exécutez la procédure suivante. Les utilisateurs peuvent continuer d’accéder à votre contenu pendant la rotation des certificats, ainsi qu’une fois le processus terminé.
**Pour alterner SSL/TLS les certificats**
1. [Augmenter les quotas de SSL/TLS certificats](increasing-the-limit-for-ssl-tls-certificates.md) pour déterminer si vous avez besoin de l’autorisation d’utiliser Plus de certificats SSL. Si c’est le cas, demandez l’autorisation et attendez que celle-ci vous soit accordée avant de passer à l’étape 2.
1. Importez le nouveau certificat dans ACM ou chargez-le dans IAM. Pour plus d'informations, consultez [Importation d'un SSL/TLS certificat](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/cnames-and-https-procedures.html#cnames-and-https-uploading-certificates) dans le manuel *Amazon CloudFront Developer Guide*.
1. (Pour les certificats IAM uniquement) Mettez vos distributions à jour une à la fois pour utiliser le nouveau certificat. Pour de plus amples informations, veuillez consulter [Mettre à jour une distribution](HowToUpdateDistribution.md).
1. (Facultatif) Supprimez le certificat précédent d’ACM ou d’IAM.
**Important**
Ne supprimez pas un SSL/TLS certificat tant que vous ne l'avez pas supprimé de toutes les distributions et tant que le statut des distributions que vous avez mises à jour n'est plus le même`Deployed`.
# Revenir d'un SSL/TLS certificat personnalisé au certificat par défaut CloudFront
Si vous avez configuré CloudFront pour utiliser le protocole HTTPS entre les utilisateurs et CloudFront, et si vous avez configuré CloudFront pour utiliser un SSL/TLS certificat personnalisé, vous pouvez modifier votre configuration pour utiliser le certificat CloudFront SSL/TLS par défaut. Le processus varie selon que vous avez utilisé ou non votre distribution pour transmettre votre contenu :
+ Si vous n’avez pas utilisé votre distribution pour transmettre votre contenu, vous pouvez juste modifier la configuration. Pour de plus amples informations, veuillez consulter [Mettre à jour une distribution](HowToUpdateDistribution.md).
+ Si vous avez utilisé votre distribution pour distribuer votre contenu, vous devez créer une nouvelle CloudFront distribution et modifier la URLs distribution de vos fichiers afin de réduire ou d'éliminer le temps pendant lequel votre contenu n'est pas disponible. Pour ce faire, procédez comme suit.
## Revenir au certificat par défaut CloudFront
La procédure suivante explique comment passer d'un SSL/TLS certificat personnalisé au CloudFront certificat par défaut.
**Pour revenir au certificat par défaut CloudFront**
1. Créez une nouvelle CloudFront distribution avec la configuration souhaitée. Pour **Certificat SSL**, choisissez **Certificat par défaut CloudFront (\$1.cloudfront.net)**.
Pour de plus amples informations, veuillez consulter [Créer une distribution](distribution-web-creating-console.md).
1. Pour les fichiers que vous distribuez en utilisant CloudFront, mettez-les à jour URLs dans votre application pour utiliser le nom de domaine CloudFront attribué à la nouvelle distribution. Remplacez, par exemple, `https://www.example.com/images/logo.png` par `https://d111111abcdef8.cloudfront.net/images/logo.png`.
1. Supprimez la distribution associée à un certificat SSL/TLS personnalisé ou mettez-la à jour pour remplacer la valeur du certificat **SSL par CloudFront certificat** **par défaut (**\$1.cloudfront.net). Pour de plus amples informations, veuillez consulter [Mettre à jour une distribution](HowToUpdateDistribution.md).
**Important**
Jusqu'à ce que vous ayez terminé cette étape, l'utilisation d'un SSL/TLS certificat personnalisé AWS continue de vous être facturée.
1. (Facultatif) Supprimez votre SSL/TLS certificat personnalisé.
1. Exécutez la AWS CLI commande `list-server-certificates` pour obtenir l'ID du certificat que vous souhaitez supprimer. Pour plus d’informations, consultez [list-server-certificates](https://docs.aws.amazon.com/cli/latest/reference/iam/list-server-certificates.html) dans la *Référence des commandes de l’AWS CLI *.
1. Exécutez la AWS CLI commande `delete-server-certificate` pour supprimer le certificat. Pour plus d’informations, consultez [delete-server-certificate](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-server-certificate.html) dans la *Référence des commandes de l’AWS CLI *.
# Passez d'un SSL/TLS certificat personnalisé avec adresses IP dédiées à un certificat SNI
Si vous avez configuré CloudFront pour utiliser un SSL/TLS certificat personnalisé avec des adresses IP dédiées, vous pouvez passer à un SSL/TLS certificat personnalisé avec SNI à la place et éliminer les frais associés aux adresses IP dédiées.
**Important**
Cette mise à jour de votre CloudFront configuration n'a aucun effet sur les utilisateurs qui prennent en charge le SNI. Les spectateurs peuvent accéder à votre contenu avant et après la modification, ainsi que pendant que la modification se propage aux zones CloudFront périphériques. Les utilisateurs qui ne prennent pas en charge l’extension SNI ne peuvent plus accéder à votre contenu après le changement. Pour de plus amples informations, veuillez consulter [Choisissez le mode de CloudFront traitement des requêtes HTTPS](cnames-https-dedicated-ip-or-sni.md).
## Conversion d’un certificat personnalisé à une extension SNI
La procédure suivante explique comment passer d'un SSL/TLS certificat personnalisé avec des adresses IP dédiées au SNI.
**Pour passer d'un SSL/TLS certificat personnalisé avec adresses IP dédiées à un certificat SNI**
1. Connectez-vous à la CloudFront console AWS Management Console et ouvrez-la à l'adresse[https://console.aws.amazon.com/cloudfront/v4/home](https://console.aws.amazon.com/cloudfront/v4/home).
1. Choisissez l’ID de la distribution que vous souhaitez afficher ou mettre à jour.
1. Choisissez **Paramètres de distribution**.
1. Sous l’onglet **General**, choisissez **Edit**.
1. Dans **Certification SSL personnalisée – *facultatif***, désélectionnez **Prise en charge de clients hérités**.
1. Choisissez **Oui, Modifier**.