Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Requisiti per l'utilizzo dei certificati SSL/TLS con CloudFront
I requisiti per i certificati SSL/TLS sono descritti in questo argomento. Si applicano, ad eccezione di quanto indicato sopra, nei seguenti casi:
-
Certificati per l'utilizzo di HTTPS tra visualizzatori e CloudFront
-
Certificati per l'utilizzo di HTTPS tra CloudFront e l'origine
Argomenti
- Autorità di certificazione
- Regione AWS per AWS Certificate Manager
- Formato del certificato
- Certificati intermedi
- Tipo di chiavi
- Chiave privata
- Autorizzazioni
- Dimensioni della chiave di certificato
- Tipi di certificati supportati
- Data di scadenza e rinnovo certificati
- Nomi di dominio nella CloudFront distribuzione e nel certificato
- Versione minima del protocollo SSL/TLS
- Versioni HTTP supportate
Autorità di certificazione
È consigliabile usare un certificato rilasciato da AWS Certificate Manager (ACM)us-east-1
).
CloudFront supporta le stesse autorità di certificazione (CA) di Mozilla, quindi se non usi ACM, usa un certificato emesso da una CA presente nell'elenco dei certificati CA inclusi di Mozilla
Regione AWS per AWS Certificate Manager
Per utilizzare un certificato in AWS Certificate Manager (ACM) per richiedere HTTPS tra i visualizzatori eCloudFront, assicurati di richiedere (o importare) il certificato nella regione Stati Uniti orientali (Virginia settentrionale) (). us-east-1
Se desideri richiedere HTTPS tra CloudFront e la tua origine e utilizzi un sistema di bilanciamento del carico in Elastic Load Balancing come origine, puoi richiedere o importare il certificato in qualsiasi formato. Regione AWS
Formato del certificato
Il certificato deve essere in formato PEM X.509. Questo è il formato di default se si utilizza AWS Certificate Manager.
Certificati intermedi
Se stai utilizzando un'autorità di certificazione (CA) di terza parte, nel file .pem
elenca tutti i certificati intermedi della catena di certificati, a partire da uno per la CA che ha firmato il certificato per il tuo dominio. Di solito, puoi trovare un file sul sito Web della CA in cui vengono elencati i certificati intermedi e root concatenati nel giusto ordine.
Importante
Non includere i seguenti certificati: il certificato root, i certificati intermedi che non sono nel percorso attendibile oppure il certificato della chiave pubblica della CA.
Ecco un esempio:
-----BEGIN CERTIFICATE-----
Intermediate certificate 2
-----END CERTIFICATE----- -----BEGIN CERTIFICATE-----Intermediate certificate 1
-----END CERTIFICATE-----
Tipo di chiavi
CloudFront supporta coppie di chiavi pubbliche-private RSA ed ECDSA.
CloudFront supporta connessioni HTTPS sia verso i visualizzatori che verso le origini utilizzando certificati RSA ed ECDSA. Con AWS Certificate Manager
(ACM)
Per gli elenchi dei codici RSA ed ECDSA supportati da cui è possibile negoziare in connessioni HTTPS, CloudFront vedere e. Protocolli e cifrari supportati tra visualizzatori e CloudFront Protocolli e cifrari supportati tra CloudFront e l'origine
Chiave privata
Se utilizzi un certificato di un'autorità di certificazione (CA) esterna, tieni presente quanto segue:
-
La chiave privata deve corrispondere alla chiave pubblica presente nel certificato.
-
La chiave privata deve essere nel formato PEM.
-
La chiave privata non può essere crittografata con una password.
Se AWS Certificate Manager (ACM) ha fornito il certificato, ACM non rilascia la chiave privata. La chiave privata viene archiviata in ACM per essere utilizzata dai AWS servizi integrati con ACM.
Autorizzazioni
È necessario disporre dell'autorizzazione per utilizzare e importare il certificato SSL/TLS. Se utilizzi AWS Certificate Manager (ACM), ti consigliamo di utilizzare AWS Identity and Access Management le autorizzazioni per limitare l'accesso ai certificati. Per ulteriori informazioni, consulta Identity and Access Management nella Guida per l'utente di AWS Certificate Manager .
Dimensioni della chiave di certificato
La dimensione della chiave del certificato CloudFront supportata dipende dal tipo di chiave e di certificato.
- Per i certificati RSA:
-
CloudFront supporta chiavi RSA a 1024 bit, 2048 bit, 3072 bit e 4096 bit. La lunghezza massima della chiave per un certificato RSA da utilizzare è di 4096 bit. CloudFront
Tieni presente che ACM emette certificati RSA con chiavi fino a 2048 bit. Per utilizzare un certificato RSA a 3072 o 4096 bit, è necessario ottenere il certificato esternamente e importarlo in ACM, dopodiché sarà disponibile per l'uso con. CloudFront
Per informazioni su come stabilire le dimensioni di una chiave RSA, consulta Determina la dimensione della chiave pubblica in un certificato RSA SSL/TLS.
- Per i certificati ECDSA:
-
CloudFront supporta chiavi a 256 bit. Per utilizzare un certificato ECDSA in ACM per richiedere HTTPS tra i visualizzatori e CloudFront, usa la curva ellittica prime256v1.
Tipi di certificati supportati
CloudFront supporta tutti i tipi di certificati emessi da un'autorità di certificazione affidabile.
Data di scadenza e rinnovo certificati
Se utilizzi certificati ottenuti da un'autorità di certificazione (CA) di terze parti, devi monitorare le date di scadenza dei certificati e rinnovare i certificati importati in AWS Certificate Manager (ACM) o caricati nell'archivio AWS Identity and Access Management certificati prima della scadenza.
Se usi certificati forniti da ACM, ACM gestisce i rinnovi dei certificati senza alcun intervento da parte tua. Per ulteriori informazioni, consulta Rinnovo gestito nella Guida per l'utente di AWS Certificate Manager .
Nomi di dominio nella CloudFront distribuzione e nel certificato
Quando utilizzi un'origine personalizzata, il certificato SSL/TLS sull'origine include un nome di dominio nel campo Nome comune e, possibilmente, altri nomi nel campo Nomi alternativi soggetto. (CloudFront supporta caratteri jolly nei nomi di dominio dei certificati.)
Uno dei nomi di dominio nel certificato deve corrispondere al nome di dominio specificato per Nome dominio origine. Se nessun nome di dominio corrisponde, CloudFront restituisce il codice di stato HTTP 502 (Bad Gateway)
al visualizzatore.
Importante
Quando aggiungi un nome di dominio alternativo a una distribuzione, CloudFront verifica che il nome di dominio alternativo sia coperto dal certificato che hai allegato. Il certificato deve coprire il nome di dominio alternativo nel campo del nome alternativo dell'oggetto (SAN) del certificato. Ciò significa che il campo SAN deve contenere una corrispondenza esatta del nome di dominio alternativo o contenere un carattere jolly allo stesso livello del nome di dominio alternativo che si sta aggiungendo.
Per ulteriori informazioni, consulta Requisiti per l'utilizzo di nomi di dominio alternativi.
Versione minima del protocollo SSL/TLS
Se utilizzi indirizzi IP dedicati, imposta la versione minima del protocollo SSL/TLS per la connessione tra i visualizzatori e scegli una politica di sicurezza. CloudFront
Per ulteriori informazioni, consulta Politica di sicurezza (versione minima SSL/TLS) nell'argomento Riferimento alle impostazioni di distribuzione.
Versioni HTTP supportate
Se associ un certificato a più di una CloudFront distribuzione, tutte le distribuzioni associate al certificato devono utilizzare la stessa opzione per. Versioni HTTP supportate Questa opzione viene specificata quando si crea o si aggiorna una CloudFront distribuzione.