Exigez le protocole HTTPS pour la communication entre CloudFront et votre origine personnalisée - Amazon CloudFront
Exiger le protocole HTTPS pour les origines personnaliséesInstallez un certificat SSL/TLS sur votre origine personnalisée

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Exigez le protocole HTTPS pour la communication entre CloudFront et votre origine personnalisée

Vous pouvez exiger le protocole HTTPS pour la communication entre CloudFront et votre origine.

Note

Si votre origine est un compartiment Amazon S3 configuré comme point de terminaison de site Web, vous ne pouvez pas le configurer CloudFront pour utiliser le protocole HTTPS avec votre origine, car Amazon S3 ne prend pas en charge le protocole HTTPS pour les points de terminaison de sites Web.

Pour exiger le protocole HTTPS entre CloudFront et votre origine, suivez les procédures décrites dans cette rubrique pour effectuer les opérations suivantes :

  1. Dans votre distribution, modifiez le paramètre Stratégie de protocole d'origine pour l'origine.

  2. Installez un certificat SSL/TLS sur votre serveur d'origine (cela n'est pas obligatoire lorsque vous utilisez une origine Amazon S3 ou certaines autres AWS origines).

Exiger le protocole HTTPS pour les origines personnalisées

La procédure suivante explique comment configurer l'utilisation du protocole HTTPS CloudFront pour communiquer avec un équilibreur de charge Elastic Load Balancing, une instance Amazon EC2 ou une autre origine personnalisée. Pour plus d'informations sur l'utilisation de l' CloudFront API pour mettre à jour une distribution, consultez UpdateDistributionle Amazon CloudFront API Reference.

Pour configurer CloudFront afin d'exiger le protocole HTTPS entre CloudFront et votre origine personnalisée

  1. Connectez-vous à la CloudFront console AWS Management Console et ouvrez-la à l'adressehttps://console.aws.amazon.com/cloudfront/v4/home.

  2. Dans le volet supérieur de la CloudFront console, choisissez l'ID de la distribution que vous souhaitez mettre à jour.

  3. Dans l'onglet Comportements, sélectionnez l'origine que vous souhaitez mettre à jour, puis choisissez Modifier.

  4. Modifiez les paramètres suivants :

    Origin Protocol Policy

    Modifiez le paramètre Stratégie de protocole d'origine pour les origines concernées de votre distribution :

    • HTTPS uniquement : CloudFront utilise uniquement le protocole HTTPS pour communiquer avec votre origine personnalisée.

    • Match Viewer : CloudFront communique avec votre origine personnalisée via HTTP ou HTTPS, selon le protocole de la demande du spectateur. Par exemple, si vous choisissez Match Viewer for Origin Protocol Policy et que le lecteur utilise le protocole HTTPS pour demander un objet CloudFront, il utilise CloudFront également le protocole HTTPS pour transférer la demande à votre source.

      Ne sélectionnez Identique à l'utilisateur que si vous affectez la valeur Rediriger HTTP vers HTTPS ou HTTPS uniquement au paramètre Stratégie de protocole d'utilisateur.

      CloudFront ne met en cache l'objet qu'une seule fois, même si les utilisateurs font des demandes à l'aide des protocoles HTTP et HTTPS.

    Origin SSL Protocols

    Choisissez les Protocoles SSL d'origine pour les origines concernées de votre distribution. Le protocole SSLv3 étant moins sécurisé, nous vous recommandons de choisir SSLv3 uniquement si votre origine ne prend pas en charge TLSv1 ou version ultérieure. La poignée de main TLSv1 est à la fois rétrocompatible avec SSLv3, mais TLSv1.1 et versions ultérieures ne le sont pas. Lorsque vous choisissez SSLv3, envoie CloudFront uniquement des demandes de poignée de main SSLv3.

  5. Sélectionnez Enregistrer les modifications.

  6. Répétez les étapes 3 à 5 pour chaque origine supplémentaire pour laquelle vous souhaitez exiger le protocole HTTPS entre CloudFront et votre origine personnalisée.

  7. Vérifiez les éléments suivants avant d’utiliser la configuration mise à jour dans un environnement de production :

    • Le modèle de chemin de chaque comportement de cache s’applique uniquement aux requêtes pour lesquelles vous souhaitez que les visionneuses utilisent HTTPS.

    • Les comportements du cache sont répertoriés dans l'ordre dans lequel vous CloudFront souhaitez les évaluer. Pour plus d’informations, consultez Modèle de chemin d’accès.

    • Les comportements de cache acheminent les requêtes vers les origines pour lesquelles vous avez modifié le paramètre Stratégie de protocole d'origine.

Installez un certificat SSL/TLS sur votre origine personnalisée

Vous pouvez utiliser un certificat SSL/TLS provenant des sources suivantes sur votre origine personnalisée :

  • Si votre origine est un équilibreur de charge Elastic Load Balancing, vous pouvez utiliser un certificat fourni par AWS Certificate Manager (ACM). Vous pouvez également utiliser un certificat signé par une autorité de certification tierce reconnue et importé dans ACM.

  • Pour les origines autres que les équilibreurs de charge Elastic Load Balancing, vous devez utiliser un certificat signé par une autorité de certification (CA) tierce de confiance, par exemple Comodo ou DigiCert Symantec.

Le certificat renvoyé depuis l'origine doit comprendre l'un des noms de domaine suivants :

  • Le nom de domaine dans le champ du domaine Origin de l'origine (le DomainName champ de l' CloudFront API).

  • Nom du domaine dans l’en-tête Host, si le comportement du cache est configuré pour transférer l'en-tête Host de l'origine.

Lorsque CloudFront vous utilisez le protocole HTTPS pour communiquer avec votre origine, CloudFront vérifie que le certificat a été émis par une autorité de certification fiable. CloudFront prend en charge les mêmes autorités de certification que Mozilla. Pour obtenir la liste actuelle, consultez la Liste des certificats de CA inclus dans Mozilla. Vous ne pouvez pas utiliser de certificat auto-signé pour les communications HTTPS entre CloudFront et votre origine.

Important

Si le serveur d'origine renvoie un certificat expiré, un certificat non valide ou un certificat auto-signé, ou s'il renvoie la chaîne de certificats dans le mauvais ordre, CloudFront abandonne la connexion TCP, renvoie le code d'état HTTP 502 (Bad Gateway) au visualiseur et définit l'X-Cacheen-tête sur. Error from cloudfront De même, si la chaîne complète de certificats, y compris le certificat intermédiaire, n'est pas présente, CloudFront supprime la connexion TCP.