Persyaratan untuk SSL TLS menggunakan/sertifikat dengan CloudFront - Amazon CloudFront
Penerbit sertifikatWilayah AWS untuk AWS Certificate ManagerFormat SertifikatSertifikat MenengahTipe KunciKunci privatIzinUkuran kunci sertifikatJenis sertifikat yang didukungTanggal kedaluwarsa sertifikat dan perpanjanganNama domain dalam CloudFront distribusi dan sertifikatVersi SSL TLS minimum/protokolVersi HTTP yang didukung

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Persyaratan untuk SSL TLS menggunakan/sertifikat dengan CloudFront

Persyaratan SSL TLS untuk/sertifikat dijelaskan dalam topik ini. Mereka berlaku untuk kedua hal berikut, kecuali sebagaimana disebutkan:

  • Sertifikat untuk digunakan HTTPS antara pemirsa dan CloudFront

  • Sertifikat untuk menggunakan HTTPS antara CloudFront dan asal Anda

Penerbit sertifikat

Kami menyarankan Anda menggunakan sertifikat publik yang dikeluarkan oleh AWS Certificate Manager (ACM). Untuk informasi tentang mendapatkan sertifikat dariACM, lihat Panduan AWS Certificate Manager Pengguna. Untuk menggunakan ACM sertifikat dengan CloudFront, pastikan Anda meminta (atau mengimpor) sertifikat di Wilayah AS Timur (Virginia N.) (us-east-1).

CloudFront mendukung otoritas sertifikat (CAs) yang sama dengan Mozilla, jadi jika Anda tidak menggunakanACM, gunakan sertifikat yang dikeluarkan oleh CA pada Daftar Sertifikat CA Termasuk Mozilla. Untuk informasi lebih lanjut tentang mendapatkan dan menginstal sertifikat, lihat dokumentasi untuk perangkat lunak HTTP server Anda dan ke dokumentasi untuk CA.

Wilayah AWS untuk AWS Certificate Manager

Untuk menggunakan sertifikat di AWS Certificate Manager (ACM) untuk mewajibkan HTTPS antara pemirsa danCloudFront, pastikan Anda meminta (atau mengimpor) sertifikat di Wilayah AS Timur (Virginia Utara) (us-east-1).

Jika Anda ingin meminta HTTPS antara CloudFront dan asal Anda, dan Anda menggunakan penyeimbang beban di Elastic Load Balancing sebagai asal Anda, Anda dapat meminta atau mengimpor sertifikat di mana pun. Wilayah AWS

Format Sertifikat

Sertifikat harus dalam format X.509. PEM Ini adalah format default jika Anda menggunakan AWS Certificate Manager.

Sertifikat Menengah

Jika Anda menggunakan otoritas sertifikat pihak ketiga (CA), cantumkan semua sertifikat perantara dalam rantai sertifikat yang ada di .pem file, dimulai dengan sertifikat untuk CA yang menandatangani sertifikat untuk domain Anda. Biasanya, Anda akan menemukan file di situs web CA yang mencantumkan sertifikat perantara dan root dalam urutan rantai yang tepat.

penting

Jangan sertakan yang berikut ini: sertifikat root, sertifikat perantara yang tidak berada di jalur kepercayaan, atau sertifikat kunci publik CA Anda.

Berikut ini contohnya:

-----BEGIN CERTIFICATE-----
Intermediate certificate 2
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Intermediate certificate 1
-----END CERTIFICATE-----

Tipe Kunci

CloudFront mendukung RSA dan pasangan kunci ECDSA publik-pribadi.

CloudFront mendukung HTTPS koneksi ke pemirsa dan asal menggunakan RSA dan ECDSA sertifikat. Dengan AWS Certificate Manager (ACM), Anda dapat meminta dan mengimpor RSA atau ECDSA sertifikat dan kemudian mengaitkannya dengan CloudFront distribusi Anda.

Untuk daftar RSA dan ECDSA cipher yang didukung oleh CloudFront itu Anda dapat bernegosiasi dalam HTTPS koneksi, lihat dan. Protokol dan cipher yang didukung antara pemirsa dan CloudFront Protokol dan cipher yang didukung antara dan asal CloudFront

Kunci privat

Jika Anda menggunakan sertifikat dari otoritas sertifikat pihak ketiga (CA), catat hal-hal berikut:

  • Kunci pribadi harus cocok dengan kunci publik yang ada dalam sertifikat.

  • Kunci pribadi harus dalam PEM format.

  • Kunci pribadi tidak dapat dienkripsi dengan kata sandi.

Jika AWS Certificate Manager (ACM) memberikan sertifikat, ACM tidak melepaskan kunci pribadi. Kunci pribadi disimpan ACM untuk digunakan oleh AWS layanan yang terintegrasi denganACM.

Izin

Anda harus memiliki izin untuk menggunakan dan mengimpor TLS sertifikatSSL/. Jika Anda menggunakan AWS Certificate Manager (ACM), sebaiknya gunakan AWS Identity and Access Management izin untuk membatasi akses ke sertifikat. Untuk informasi selengkapnya, lihat Identitas dan manajemen akses di Panduan AWS Certificate Manager Pengguna.

Ukuran kunci sertifikat

Ukuran kunci sertifikat yang CloudFront mendukung tergantung pada jenis kunci dan sertifikat.

Untuk RSA sertifikat:

CloudFront mendukung kunci 1024-bit, 2048-bit, dan 3072-bit, dan 4096-bit. RSA Panjang kunci maksimum untuk RSA sertifikat yang Anda gunakan CloudFront adalah 4096 bit.

Perhatikan bahwa ACM mengeluarkan RSA sertifikat dengan kunci hingga 2048-bit. Untuk menggunakan sertifikat 3072-bit atau 4096-bit, Anda perlu mendapatkan RSA sertifikat secara eksternal dan mengimpornya keACM, setelah itu akan tersedia untuk Anda gunakan. CloudFront

Untuk informasi tentang cara menentukan ukuran RSA kunci, lihatTentukan ukuran kunci publik dalam SSL TLS RSA /sertifikat.

Untuk ECDSA sertifikat:

CloudFront mendukung kunci 256-bit. Untuk menggunakan ECDSA sertifikat ACM untuk mewajibkan HTTPS antar pemirsa dan CloudFront, gunakan kurva elips prime256v1.

Jenis sertifikat yang didukung

CloudFront mendukung semua jenis sertifikat yang dikeluarkan oleh otoritas sertifikat tepercaya.

Tanggal kedaluwarsa sertifikat dan perpanjangan

Jika Anda menggunakan sertifikat yang Anda dapatkan dari otoritas sertifikat pihak ketiga (CA), Anda harus memantau tanggal kedaluwarsa sertifikat dan memperbarui sertifikat yang Anda impor ke AWS Certificate Manager (ACM) atau mengunggah ke penyimpanan AWS Identity and Access Management sertifikat sebelum kedaluwarsa.

Jika Anda menggunakan sertifikat ACM yang disediakan, ACM mengelola perpanjangan sertifikat untuk Anda. Untuk informasi lebih lanjut, lihat Perpanjangan Terkelola dalam AWS Certificate Manager Panduan Pengguna.

Nama domain dalam CloudFront distribusi dan sertifikat

Saat Anda menggunakan custom origin, TLS sertifikatSSL/pada asal Anda menyertakan nama domain di bidang Nama Umum, dan mungkin beberapa lainnya di bidang Nama Alternatif Subjek. (CloudFront mendukung karakter wildcard dalam nama domain sertifikat.)

Salah satu nama domain dalam sertifikat harus sesuai dengan nama domain yang Anda tentukan untuk Nama Domain Asal. Jika tidak ada nama domain yang cocok, CloudFront mengembalikan kode HTTP status 502 (Bad Gateway) ke penampil.

penting

Saat Anda menambahkan nama domain alternatif ke distribusi, CloudFront periksa apakah nama domain alternatif dicakup oleh sertifikat yang telah Anda lampirkan. Sertifikat harus mencakup nama domain alternatif di bidang nama alternatif subjek (SAN) sertifikat. Ini berarti SAN bidang harus berisi kecocokan persis untuk nama domain alternatif, atau berisi wildcard pada tingkat yang sama dengan nama domain alternatif yang Anda tambahkan.

Untuk informasi selengkapnya, lihat Persyaratan untuk menggunakan nama domain alternatif.

Versi SSL TLS minimum/protokol

Jika Anda menggunakan alamat IP khusus, tetapkan versi TLS protokol minimumSSL/untuk koneksi antara pemirsa dan CloudFront dengan memilih kebijakan keamanan.

Untuk informasi selengkapnya, lihat Kebijakan keamanan (SSLTLSminimum/versi) dalam topik Referensi pengaturan distribusi.

Versi HTTP yang didukung

Jika Anda mengaitkan satu sertifikat dengan lebih dari satu CloudFront distribusi, semua distribusi yang terkait dengan sertifikat harus menggunakan opsi yang sama untukVersi HTTP yang didukung. Anda menentukan opsi ini saat membuat atau memperbarui CloudFront distribusi.