Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Requisiti per l'utilizzo SSL/TLS di certificati con CloudFront
I requisiti per SSL/TLS i certificati sono descritti in questo argomento. Si applicano, ad eccezione di quanto indicato sopra, nei seguenti casi:
+ Certificati per l'utilizzo di HTTPS tra visualizzatori e CloudFront
+ Certificati per l'utilizzo di HTTPS tra CloudFront e l'origine
**Topics**
+ [Autorità di certificazione](#https-requirements-certificate-issuer)
+ [Regione AWS per AWS Certificate Manager](#https-requirements-aws-region)
+ [Formato del certificato](#https-requirements-certificate-format)
+ [Certificati intermedi](#https-requirements-intermediate-certificates)
+ [Tipo di chiavi](#https-requirements-key-type)
+ [Chiave privata](#https-requirements-private-key)
+ [Permissions](#https-requirements-permissions)
+ [Dimensioni della chiave di certificato](#https-requirements-size-of-public-key)
+ [Tipi di certificati supportati](#https-requirements-supported-types)
+ [Data di scadenza e rinnovo certificati](#https-requirements-cert-expiration)
+ [Nomi di dominio nella CloudFront distribuzione e nel certificato](#https-requirements-domain-names-in-cert)
+ [Versione minima SSL/TLS del protocollo](#https-requirements-minimum-ssl-protocol-version)
+ [Versioni HTTP supportate](#https-requirements-supported-http-versions)
## Autorità di certificazione
Ti consigliamo di usare un certificato rilasciato da [AWS Certificate Manager (ACM)](https://aws.amazon.com/certificate-manager/). Per informazioni su come ottenere un certificato da ACM, consulta la *[Guida per l'utente di AWS Certificate Manager](https://docs.aws.amazon.com/acm/latest/userguide/)*. Per utilizzare un certificato ACM con una CloudFront distribuzione, assicurati di richiedere (o importare) il certificato nella regione Stati Uniti orientali (Virginia settentrionale) (`us-east-1`).
CloudFront supporta le stesse autorità di certificazione (CAs) di Mozilla, quindi se non usi ACM, usa un certificato emesso da una CA presente nell'elenco dei certificati CA inclusi di [Mozilla](https://wiki.mozilla.org/CA/Included_Certificates).
I certificati TLS utilizzati dall'origine specificata per la CloudFront distribuzione devono essere emessi anche dalla CA presente nell'elenco dei certificati CA inclusi da Mozilla.
Per ulteriori informazioni su come ottenere e installare un certificato SSL/TLS, consulta la documentazione del software del server HTTP e la documentazione relativa all'autorità di certificazione.
## Regione AWS per AWS Certificate Manager
Per utilizzare un certificato in AWS Certificate Manager (ACM) per richiedere HTTPS tra i visualizzatori eCloudFront, assicurati di richiedere (o importare) il certificato nella regione Stati Uniti orientali (Virginia settentrionale) (). `us-east-1`
Se desideri richiedere HTTPS tra CloudFront e la tua origine e utilizzi un sistema di bilanciamento del carico in Elastic Load Balancing come origine, puoi richiedere o importare il certificato in qualsiasi formato. Regione AWS
## Formato del certificato
Il certificato deve essere in formato PEM X.509. Questo è il formato di default se si utilizza AWS Certificate Manager.
## Certificati intermedi
Se stai utilizzando un'autorità di certificazione (CA) di terza parte, nel file `.pem` elenca tutti i certificati intermedi della catena di certificati, a partire da uno per la CA che ha firmato il certificato per il tuo dominio. Di solito, puoi trovare un file sul sito Web della CA in cui vengono elencati i certificati intermedi e root concatenati nel giusto ordine.
**Importante**
Non includere i seguenti certificati: il certificato root, i certificati intermedi che non sono nel percorso attendibile oppure il certificato della chiave pubblica della CA.
Ecco un esempio:
```
-----BEGIN CERTIFICATE-----
Intermediate certificate 2
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Intermediate certificate 1
-----END CERTIFICATE-----
```
## Tipo di chiavi
CloudFront supporta coppie di chiavi pubbliche-private RSA ed ECDSA.
CloudFront supporta connessioni HTTPS sia verso i visualizzatori che verso le origini utilizzando certificati RSA ed ECDSA. Con [AWS Certificate Manager (ACM)](https://console.aws.amazon.com/acm), puoi richiedere e importare certificati RSA o ECDSA e associarli alla tua distribuzione. CloudFront
Per gli elenchi dei codici RSA ed ECDSA supportati da cui è possibile negoziare in connessioni HTTPS, CloudFront vedere e. [Protocolli e cifrari supportati tra visualizzatori e CloudFront](secure-connections-supported-viewer-protocols-ciphers.md) [Protocolli e cifrari supportati tra e l'origine CloudFront](secure-connections-supported-ciphers-cloudfront-to-origin.md)
## Chiave privata
Se utilizzi un certificato di un'autorità di certificazione (CA) esterna, tieni presente quanto segue:
+ La chiave privata deve corrispondere alla chiave pubblica presente nel certificato.
+ La chiave privata deve essere nel formato PEM.
+ La chiave privata non può essere crittografata con una password.
Se AWS Certificate Manager (ACM) ha fornito il certificato, ACM non rilascia la chiave privata. La chiave privata viene archiviata in ACM per essere utilizzata dai AWS servizi integrati con ACM.
## Permissions
È necessario disporre dell'autorizzazione per utilizzare e importare il SSL/TLS certificato. Se utilizzi AWS Certificate Manager (ACM), ti consigliamo di utilizzare AWS Identity and Access Management le autorizzazioni per limitare l'accesso ai certificati. Per ulteriori informazioni, consulta [Identity and Access Management](https://docs.aws.amazon.com/acm/latest/userguide/security-iam.html) nella *Guida per l'utente di AWS Certificate Manager *.
## Dimensioni della chiave di certificato
La dimensione della chiave del certificato CloudFront supportata dipende dal tipo di chiave e di certificato.
**Per i certificati RSA:**
CloudFront supporta chiavi RSA a 1024 bit, 2048 bit, 3072 bit e 4096 bit. La lunghezza massima della chiave per un certificato RSA da utilizzare è di 4096 bit. CloudFront
Nota che ACM emette certificati RSA con chiavi fino a 2048 bit. Per utilizzare un certificato RSA a 3072 o 4096 bit, è necessario ottenere il certificato esternamente e importarlo in ACM, dopodiché sarà disponibile per l'uso. CloudFront
Per informazioni su come stabilire le dimensioni di una chiave RSA, consulta [Determina la dimensione della chiave pubblica in un certificato SSL/TLS RSA](cnames-and-https-size-of-public-key.md).
**Per i certificati ECDSA:**
CloudFront supporta chiavi a 256 bit. Per utilizzare un certificato ECDSA in ACM per richiedere HTTPS tra i visualizzatori e CloudFront, usa la curva ellittica prime256v1.
## Tipi di certificati supportati
CloudFront supporta tutti i tipi di certificati emessi da un'autorità di certificazione affidabile.
## Data di scadenza e rinnovo certificati
Se utilizzi certificati ottenuti da un'autorità di certificazione (CA) di terze parti, devi monitorare le date di scadenza dei certificati e rinnovare i certificati importati in AWS Certificate Manager (ACM) o caricati nell'archivio AWS Identity and Access Management certificati prima della scadenza.
**Importante**
Per evitare problemi legati alla scadenza del certificato, rinnovalo o reimportalo almeno 24 ore prima del valore `NotAfter` del certificato attuale. Se il certificato scade entro 24 ore, richiedi un nuovo certificato ad ACM o importa un nuovo certificato in ACM. Successivamente, associa il nuovo certificato alla distribuzione. CloudFront
CloudFront potrebbe continuare a utilizzare il certificato precedente mentre è in corso il rinnovo o la reimportazione del certificato. Si tratta di un processo asincrono che può richiedere fino a 24 ore prima CloudFront che vengano visualizzate le modifiche.
Se utilizzi certificati forniti da ACM, ACM gestisce automaticamente il rinnovo dei certificati. Per ulteriori informazioni, consulta [Rinnovo gestito](https://docs.aws.amazon.com/acm/latest/userguide/managed-renewal.html) nella *Guida per l'utente di AWS Certificate Manager *.
## Nomi di dominio nella CloudFront distribuzione e nel certificato
Quando utilizzi un'origine personalizzata, il SSL/TLS certificato relativo alla tua origine include un nome di dominio nel campo **Nome comune** e probabilmente molti altri nel campo **Nomi alternativi dell'oggetto**. (CloudFront supporta caratteri jolly nei nomi di dominio dei certificati.)
Uno dei nomi di dominio nel certificato deve corrispondere al nome di dominio specificato per Nome dominio origine. Se nessun nome di dominio corrisponde, CloudFront restituisce il codice di stato HTTP `502 (Bad Gateway)` al visualizzatore.
**Importante**
Quando aggiungi un nome di dominio alternativo a una distribuzione, CloudFront verifica che il nome di dominio alternativo sia coperto dal certificato che hai allegato. Il certificato deve coprire il nome di dominio alternativo nel campo del nome alternativo dell'oggetto (SAN) del certificato. Ciò significa che il campo SAN deve contenere una corrispondenza esatta del nome di dominio alternativo o contenere un carattere jolly allo stesso livello del nome di dominio alternativo che si sta aggiungendo.
Per ulteriori informazioni, consulta [Requisiti per l'utilizzo di nomi di dominio alternativi](CNAMEs.md#alternate-domain-names-requirements).
## Versione minima SSL/TLS del protocollo
Se utilizzi indirizzi IP dedicati, imposta la versione minima del SSL/TLS protocollo per la connessione tra gli spettatori e CloudFront scegli una politica di sicurezza.
Per ulteriori informazioni, consulta [Politica di sicurezza ( SSL/TLS versione minima)](DownloadDistValuesGeneral.md#DownloadDistValues-security-policy) nell'argomento [Riferimento a tutte le impostazioni di distribuzione](distribution-web-values-specify.md).
## Versioni HTTP supportate
Se associ un certificato a più di una CloudFront distribuzione, tutte le distribuzioni associate al certificato devono utilizzare la stessa opzione per. [Versioni HTTP supportate](DownloadDistValuesGeneral.md#DownloadDistValuesSupportedHTTPVersions) Questa opzione viene specificata quando si crea o si aggiorna una CloudFront distribuzione.