Seleziona le tue preferenze relative ai cookie

Utilizziamo cookie essenziali e strumenti simili necessari per fornire il nostro sito e i nostri servizi. Utilizziamo i cookie prestazionali per raccogliere statistiche anonime in modo da poter capire come i clienti utilizzano il nostro sito e apportare miglioramenti. I cookie essenziali non possono essere disattivati, ma puoi fare clic su \"Personalizza\" o \"Rifiuta\" per rifiutare i cookie prestazionali.

Se sei d'accordo, AWS e le terze parti approvate utilizzeranno i cookie anche per fornire utili funzionalità del sito, ricordare le tue preferenze e visualizzare contenuti pertinenti, inclusa la pubblicità pertinente. Per continuare senza accettare questi cookie, fai clic su \"Continua\" o \"Rifiuta\". Per effettuare scelte più dettagliate o saperne di più, fai clic su \"Personalizza\".

Preferenze
Contattaci
Feedback
AWS Documentation
Crea un Account AWS

Requisiti per l'utilizzo dei certificati SSL/TLS con CloudFront

PDF
RSS
Modalità Focus
Requisiti per l'utilizzo dei certificati SSL/TLS con CloudFront - Amazon CloudFront
Autorità di certificazioneRegione AWS per AWS Certificate ManagerFormato del certificatoCertificati intermediTipo di chiaviChiave privataAutorizzazioniDimensioni della chiave di certificatoTipi di certificati supportatiData di scadenza e rinnovo certificatiNomi di dominio nella CloudFront distribuzione e nel certificatoVersione minima del protocollo SSL/TLSVersioni HTTP supportate

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

I requisiti per i certificati SSL/TLS sono descritti in questo argomento. Si applicano, ad eccezione di quanto indicato sopra, nei seguenti casi:

  • Certificati per l'utilizzo di HTTPS tra visualizzatori e CloudFront

  • Certificati per l'utilizzo di HTTPS tra CloudFront e l'origine

Autorità di certificazione

Ti consigliamo di utilizzare un certificato pubblico emesso da AWS Certificate Manager (ACM). Per informazioni su come ottenere un certificato da ACM, consulta la Guida per l'utente di AWS Certificate Manager. Per utilizzare un certificato ACM con CloudFront, assicurati di richiedere (o importare) il certificato nella regione Stati Uniti orientali (Virginia settentrionale) (). us-east-1

CloudFront supporta le stesse autorità di certificazione (CAs) di Mozilla, quindi se non usi ACM, usa un certificato emesso da una CA presente nell'elenco dei certificati CA inclusi di Mozilla. Per ulteriori informazioni su come ottenere e installare un certificato SSL/TLS, consulta la documentazione del software del server HTTP e la documentazione relativa all'autorità di certificazione.

Regione AWS per AWS Certificate Manager

Per utilizzare un certificato in AWS Certificate Manager (ACM) per richiedere HTTPS tra i visualizzatori eCloudFront, assicurati di richiedere (o importare) il certificato nella regione Stati Uniti orientali (Virginia settentrionale) (). us-east-1

Se desideri richiedere HTTPS tra CloudFront e la tua origine e utilizzi un sistema di bilanciamento del carico in Elastic Load Balancing come origine, puoi richiedere o importare il certificato in qualsiasi formato. Regione AWS

Formato del certificato

Il certificato deve essere in formato PEM X.509. Questo è il formato di default se si utilizza AWS Certificate Manager.

Certificati intermedi

Se stai utilizzando un'autorità di certificazione (CA) di terza parte, nel file .pem elenca tutti i certificati intermedi della catena di certificati, a partire da uno per la CA che ha firmato il certificato per il tuo dominio. Di solito, puoi trovare un file sul sito Web della CA in cui vengono elencati i certificati intermedi e root concatenati nel giusto ordine.

Importante

Non includere i seguenti certificati: il certificato root, i certificati intermedi che non sono nel percorso attendibile oppure il certificato della chiave pubblica della CA.

Ecco un esempio:

-----BEGIN CERTIFICATE-----
Intermediate certificate 2
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Intermediate certificate 1
-----END CERTIFICATE-----

Tipo di chiavi

CloudFront supporta coppie di chiavi pubbliche-private RSA ed ECDSA.

CloudFront supporta connessioni HTTPS sia verso i visualizzatori che verso le origini utilizzando certificati RSA ed ECDSA. Con AWS Certificate Manager (ACM), puoi richiedere e importare certificati RSA o ECDSA e associarli alla tua distribuzione. CloudFront

Per gli elenchi dei codici RSA ed ECDSA supportati da cui è possibile negoziare in connessioni HTTPS, CloudFront vedere e. Protocolli e cifrari supportati tra visualizzatori e CloudFront Protocolli e cifrari supportati tra e l'origine CloudFront

Chiave privata

Se utilizzi un certificato di un'autorità di certificazione (CA) esterna, tieni presente quanto segue:

  • La chiave privata deve corrispondere alla chiave pubblica presente nel certificato.

  • La chiave privata deve essere nel formato PEM.

  • La chiave privata non può essere crittografata con una password.

Se AWS Certificate Manager (ACM) ha fornito il certificato, ACM non rilascia la chiave privata. La chiave privata viene archiviata in ACM per essere utilizzata dai AWS servizi integrati con ACM.

Autorizzazioni

È necessario disporre dell'autorizzazione per utilizzare e importare il certificato SSL/TLS. Se utilizzi AWS Certificate Manager (ACM), ti consigliamo di utilizzare AWS Identity and Access Management le autorizzazioni per limitare l'accesso ai certificati. Per ulteriori informazioni, consulta Identity and Access Management nella Guida per l'utente di AWS Certificate Manager .

Dimensioni della chiave di certificato

La dimensione della chiave del certificato CloudFront supportata dipende dal tipo di chiave e di certificato.

Per i certificati RSA:

CloudFront supporta chiavi RSA a 1024 bit, 2048 bit, 3072 bit e 4096 bit. La lunghezza massima della chiave per un certificato RSA da utilizzare è di 4096 bit. CloudFront

Tieni presente che ACM emette certificati RSA con chiavi fino a 2048 bit. Per utilizzare un certificato RSA a 3072 o 4096 bit, è necessario ottenere il certificato esternamente e importarlo in ACM, dopodiché sarà disponibile per l'uso con. CloudFront

Per informazioni su come stabilire le dimensioni di una chiave RSA, consulta Determina la dimensione della chiave pubblica in un certificato RSA SSL/TLS.

Per i certificati ECDSA:

CloudFront supporta chiavi a 256 bit. Per utilizzare un certificato ECDSA in ACM per richiedere HTTPS tra i visualizzatori e CloudFront, usa la curva ellittica prime256v1.

Tipi di certificati supportati

CloudFront supporta tutti i tipi di certificati emessi da un'autorità di certificazione affidabile.

Data di scadenza e rinnovo certificati

Se utilizzi certificati ottenuti da un'autorità di certificazione (CA) di terze parti, devi monitorare le date di scadenza dei certificati e rinnovare i certificati importati in AWS Certificate Manager (ACM) o caricati nell'archivio AWS Identity and Access Management certificati prima della scadenza.

Importante

Per evitare problemi di scadenza dei certificati, rinnova o reimporta il certificato almeno 24 ore prima del NotAfter valore del certificato corrente. Se il certificato scade entro 24 ore, richiedi un nuovo certificato ad ACM o importa un nuovo certificato in ACM. Quindi, associa il nuovo certificato alla distribuzione. CloudFront

CloudFront potrebbe continuare a utilizzare il certificato precedente mentre è in corso il rinnovo o la reimportazione del certificato. Si tratta di un processo asincrono che può richiedere fino a 24 ore prima CloudFront che vengano visualizzate le modifiche.

Se utilizzi certificati forniti da ACM, ACM gestisce i rinnovi dei certificati per te. Per ulteriori informazioni, consulta Rinnovo gestito nella Guida per l'utente di AWS Certificate Manager .

Nomi di dominio nella CloudFront distribuzione e nel certificato

Quando utilizzi un'origine personalizzata, il certificato SSL/TLS relativo alla tua origine include un nome di dominio nel campo Nome comune e probabilmente molti altri nel campo Nomi alternativi dell'oggetto. (CloudFront supporta caratteri jolly nei nomi di dominio dei certificati).

Uno dei nomi di dominio nel certificato deve corrispondere al nome di dominio specificato per Nome dominio origine. Se nessun nome di dominio corrisponde, CloudFront restituisce il codice di stato HTTP 502 (Bad Gateway) al visualizzatore.

Importante

Quando aggiungi un nome di dominio alternativo a una distribuzione, CloudFront verifica che il nome di dominio alternativo sia coperto dal certificato che hai allegato. Il certificato deve coprire il nome di dominio alternativo nel campo del nome alternativo dell'oggetto (SAN) del certificato. Ciò significa che il campo SAN deve contenere una corrispondenza esatta del nome di dominio alternativo o contenere un carattere jolly allo stesso livello del nome di dominio alternativo che si sta aggiungendo.

Per ulteriori informazioni, consulta Requisiti per l'utilizzo di nomi di dominio alternativi.

Versione minima del protocollo SSL/TLS

Se utilizzi indirizzi IP dedicati, imposta la versione minima del protocollo SSL/TLS per la connessione tra i visualizzatori e scegli una politica di sicurezza. CloudFront

Per ulteriori informazioni, consulta Politica di sicurezza (versione minima SSL/TLS) nell'argomento Riferimento alle impostazioni di distribuzione.

Versioni HTTP supportate

Se associ un certificato a più di una CloudFront distribuzione, tutte le distribuzioni associate al certificato devono utilizzare la stessa opzione per. Versioni HTTP supportate Questa opzione viene specificata quando si crea o si aggiorna una CloudFront distribuzione.

In questa pagina

PrivacyCondizioni del sitoPreferenze cookie
© 2025, Amazon Web Services, Inc. o società affiliate. Tutti i diritti riservati.