Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Utilizzo di nomi di dominio alternativi e HTTPS
Se desideri utilizzare il tuo nome di dominio URLs per i tuoi file (ad esempio`https://www.example.com/image.jpg`) e desideri che i tuoi utenti utilizzino HTTPS, devi completare i passaggi descritti nei seguenti argomenti. (Se, ad esempio, utilizzi il nome di dominio di CloudFront distribuzione predefinito nel tuo URLs, ad esempio`https://d111111abcdef8.cloudfront.net/image.jpg`, segui invece le indicazioni riportate nel seguente argomento:[Richiedi HTTPS per la comunicazione tra gli spettatori e CloudFront](using-https-viewers-to-cloudfront.md).)
**Importante**
Quando aggiungi un certificato alla tua distribuzione, lo propaga CloudFront immediatamente a tutte le sue edge location. Quando saranno disponibili nuove edge location, CloudFront propagherà il certificato anche a tali posizioni. Non è possibile limitare le edge location verso cui CloudFront vengono propagati i certificati.
**Topics**
+ [Scegli in che modo CloudFront vengono servite le richieste HTTPS](cnames-https-dedicated-ip-or-sni.md)
+ [Requisiti per l'utilizzo SSL/TLS di certificati con CloudFront](cnames-and-https-requirements.md)
+ [Quote sull'utilizzo di SSL/TLS certificati con CloudFront (HTTPS solo tra visualizzatori e CloudFront solo tra visualizzatori)](cnames-and-https-limits.md)
+ [Configurazione di nomi di dominio alternativi e HTTPS](cnames-and-https-procedures.md)
+ [Determina la dimensione della chiave pubblica in un certificato SSL/TLS RSA](cnames-and-https-size-of-public-key.md)
+ [Aumenta le quote per i certificati SSL/TLS](increasing-the-limit-for-ssl-tls-certificates.md)
+ [Ruota SSL/TLS i certificati](cnames-and-https-rotate-certificates.md)
+ [Passa da un SSL/TLS certificato personalizzato al certificato predefinito CloudFront](cnames-and-https-revert-to-cf-certificate.md)
+ [Passa da un SSL/TLS certificato personalizzato con indirizzi IP dedicati a SNI](cnames-and-https-switch-dedicated-to-sni.md)
# Scegli in che modo CloudFront vengono servite le richieste HTTPS
Se desideri che i tuoi spettatori utilizzino HTTPS e utilizzino nomi di dominio alternativi per i tuoi file, scegli una delle seguenti opzioni per il modo in cui vengono gestite le richieste CloudFront HTTPS:
+ Utilizzare la [Server Name Indication (SNI)](https://en.wikipedia.org/wiki/Server_Name_Indication): scelta consigliata
+ Utilizzare un indirizzo IP dedicato in ogni edge location
Questa sezione spiega come funziona ciascuna opzione.
## Utilizzo di SNI per servire le richieste HTTPS (funziona per la maggior parte dei client)
[Server Name Indication (SNI)](https://en.wikipedia.org/wiki/Server_Name_Indication) è un'estensione del protocollo TLS supportato da browser e client rilasciati dopo il 2010. Se configuri CloudFront per servire le richieste HTTPS utilizzando SNI, CloudFront associa il nome di dominio alternativo a un indirizzo IP per ogni edge location. Quando un visualizzatore invia una richiesta HTTPS per i tuoi contenuti, il DNS instrada la richiesta all'indirizzo IP per la edge location corretta. L'indirizzo IP del nome di dominio viene determinato durante la negoziazione dell' SSL/TLS handshake; l'indirizzo IP non è dedicato alla distribuzione.
La SSL/TLS negoziazione avviene all'inizio del processo di creazione di una connessione HTTPS. Se non è CloudFront possibile determinare immediatamente a quale dominio si riferisce la richiesta, la connessione viene interrotta. Quando un visualizzatore che supporta la SNI invia una richiesta HTTPS per i tuoi contenuti, ecco cosa succede:
1. Il visualizzatore ottiene automaticamente il nome di dominio dall’URL della richiesta e lo aggiunge all’estensione SNI del messaggio di saluto del client TLS.
1. Quando CloudFront riceve il client TLS, utilizza il nome di dominio nell'estensione SNI per trovare la CloudFront distribuzione corrispondente e restituisce il certificato TLS associato.
1. Il visualizzatore ed CloudFront eseguono la negoziazione. SSL/TLS
1. CloudFront restituisce il contenuto richiesto al visualizzatore.
Per un elenco aggiornato dei browser che supportano la SNI, vedi la voce Wikipedia [Server Name Indication](https://en.wikipedia.org/wiki/Server_Name_Indication).
Se desideri utilizzare la SNI ma alcuni browser degli utenti non supportano le SNI, hai diverse opzioni:
+ Configura CloudFront per soddisfare le richieste HTTPS utilizzando indirizzi IP dedicati anziché SNI. Per ulteriori informazioni, consulta [Utilizzo di un indirizzo IP dedicato per servire le richieste HTTPS (funziona per tutti i client)](#cnames-https-dedicated-ip).
+ Utilizza il certificato CloudFront SSL/TLS anziché un certificato personalizzato. Ciò richiede l'utilizzo del nome di CloudFront dominio per la distribuzione in URLs per i file, ad esempio,. `https://d111111abcdef8.cloudfront.net/logo.png`
Se utilizzi il CloudFront certificato predefinito, gli utenti devono supportare il protocollo SSL TLSv1 o versioni successive. CloudFront non supporta il SSLv3 certificato predefinitoCloudFront .
È inoltre necessario modificare il SSL/TLS certificato in CloudFront uso da un certificato personalizzato a un CloudFront certificato predefinito:
+ Se non hai utilizzato la tua distribuzione per distribuire i contenuti, puoi modificare la configurazione. Per ulteriori informazioni, consulta [Aggiornamento di una distribuzione](HowToUpdateDistribution.md).
+ Se hai utilizzato la tua distribuzione per distribuire i contenuti, devi creare una nuova CloudFront distribuzione e modificare i file URLs per ridurre o eliminare il periodo di indisponibilità dei contenuti. Per ulteriori informazioni, consulta [Passa da un SSL/TLS certificato personalizzato al certificato predefinito CloudFront](cnames-and-https-revert-to-cf-certificate.md).
+ Se puoi verificare qual è il browser utilizzato dagli utenti, allora aggiornalo a una versione che supporta la SNI.
+ Utilizza HTTP anziché HTTPS.
## Utilizzo di un indirizzo IP dedicato per servire le richieste HTTPS (funziona per tutti i client)
Server Name Indication (SNI) costituisce un modo per associare una richiesta a un dominio. Un altro modo consiste nell'utilizzare un indirizzo IP dedicato. Se gli utenti non sono in grado di effettuare l'aggiornamento a un browser o un client rilasciato dopo il 2010, puoi utilizzare un indirizzo IP dedicato per fornire le richieste HTTPS. Per un elenco aggiornato dei browser che supportano la SNI, vedi la voce Wikipedia [Server Name Indication](https://en.wikipedia.org/wiki/Server_Name_Indication).
**Importante**
Se CloudFront configuri per soddisfare le richieste HTTPS utilizzando indirizzi IP dedicati, dovrai sostenere un costo mensile aggiuntivo. L'addebito inizia quando si associa il SSL/TLS certificato a una distribuzione e si abilita la distribuzione. Per ulteriori informazioni sui CloudFront prezzi, consulta la pagina [ CloudFront dei prezzi di Amazon](https://aws.amazon.com/cloudfront/pricing). Inoltre, fai riferimento a [Using the Same Certificate for Multiple CloudFront Distributions](cnames-and-https-limits.md#cnames-and-https-same-certificate-multiple-distributions).
Quando configuri CloudFront per soddisfare le richieste HTTPS utilizzando indirizzi IP dedicati, CloudFront associa il certificato a un indirizzo IP dedicato in ogni CloudFront edge location. Quando un visualizzatore invia una richiesta HTTPS per i tuoi contenuti, ecco cosa succede:
1. DNS instrada la richiesta all'indirizzo IP della tua distribuzione nella edge location di riferimento.
1. Se una richiesta client fornisce l'estensione SNI nel `ClientHello` messaggio, CloudFront cerca una distribuzione associata a tale SNI.
+ Se c'è una corrispondenza, CloudFront risponde alla richiesta con il certificato SSL/TLS.
+ Se non c'è alcuna corrispondenza, CloudFront utilizza invece l'indirizzo IP per identificare la distribuzione e determinare quale certificato SSL/TLS restituire al visualizzatore.
1. Il visualizzatore ed CloudFront eseguiamo la SSL/TLS negoziazione utilizzando il certificato SSL/TLS.
1. CloudFront restituisce il contenuto richiesto al visualizzatore.
Questo metodo funziona per ogni richiesta HTTPS, indipendentemente dal browser o da un altro visualizzatore che l'utente sta utilizzando.
**Nota**
IPs I dedicati non sono statici IPs e possono cambiare nel tempo. L'indirizzo IP restituito per l'edge location viene allocato dinamicamente dagli intervalli di indirizzi IP dell'elenco dei [server CloudFront periferici](LocationsOfEdgeServers.md).
Gli intervalli di indirizzi IP per i server CloudFront edge sono soggetti a modifiche. Per ricevere notifiche sulle modifiche all'indirizzo IP, [iscriviti a AWS Public IP Address Changes tramite Amazon SNS](https://aws.amazon.com/blogs/aws/subscribe-to-aws-public-ip-address-changes-via-amazon-sns/).
## Richiedi l'autorizzazione per utilizzare tre o più certificati IP SSL/TLS dedicati
Se hai bisogno dell'autorizzazione per associare permanentemente tre o più certificati IP dedicati SSL/TLS a CloudFront, esegui la procedura seguente. Per ulteriori informazioni sulle richieste HTTPS, consulta [Scegli in che modo CloudFront vengono servite le richieste HTTPS](#cnames-https-dedicated-ip-or-sni).
**Nota**
Questa procedura consente di utilizzare tre o più certificati IP dedicati tra le distribuzioni. CloudFront Il valore predefinito è 2. Tieni presente che non è possibile associare più di un certificato SSL a una distribuzione.
È possibile associare un solo SSL/TLS certificato alla volta a una CloudFront distribuzione. Questo numero indica il numero totale di certificati SSL IP dedicati che puoi utilizzare in tutte le tue CloudFront distribuzioni.
**Per richiedere l'autorizzazione a utilizzare tre o più certificati con una distribuzione CloudFront**
1. Visita il [Centro di supporto](https://console.aws.amazon.com/support/home?#/case/create?issueType=service-limit-increase&limitType=service-code-cloudfront-distributions) e immetti una richiesta.
1. Indica il numero di certificati per i quali hai bisogno dell'autorizzazione all'utilizzo e descrivi le circostanze nella tua richiesta. Aggiorneremo il tuo account appena possibile.
1. Continua con la procedura successiva.
# Requisiti per l'utilizzo SSL/TLS di certificati con CloudFront
I requisiti per SSL/TLS i certificati sono descritti in questo argomento. Si applicano, ad eccezione di quanto indicato sopra, nei seguenti casi:
+ Certificati per l'utilizzo di HTTPS tra visualizzatori e CloudFront
+ Certificati per l'utilizzo di HTTPS tra CloudFront e l'origine
**Topics**
+ [Autorità di certificazione](#https-requirements-certificate-issuer)
+ [Regione AWS per AWS Certificate Manager](#https-requirements-aws-region)
+ [Formato del certificato](#https-requirements-certificate-format)
+ [Certificati intermedi](#https-requirements-intermediate-certificates)
+ [Tipo di chiavi](#https-requirements-key-type)
+ [Chiave privata](#https-requirements-private-key)
+ [Permissions](#https-requirements-permissions)
+ [Dimensioni della chiave di certificato](#https-requirements-size-of-public-key)
+ [Tipi di certificati supportati](#https-requirements-supported-types)
+ [Data di scadenza e rinnovo certificati](#https-requirements-cert-expiration)
+ [Nomi di dominio nella CloudFront distribuzione e nel certificato](#https-requirements-domain-names-in-cert)
+ [Versione minima SSL/TLS del protocollo](#https-requirements-minimum-ssl-protocol-version)
+ [Versioni HTTP supportate](#https-requirements-supported-http-versions)
## Autorità di certificazione
Ti consigliamo di usare un certificato rilasciato da [AWS Certificate Manager (ACM)](https://aws.amazon.com/certificate-manager/). Per informazioni su come ottenere un certificato da ACM, consulta la *[Guida per l'utente di AWS Certificate Manager](https://docs.aws.amazon.com/acm/latest/userguide/)*. Per utilizzare un certificato ACM con una CloudFront distribuzione, assicurati di richiedere (o importare) il certificato nella regione Stati Uniti orientali (Virginia settentrionale) (`us-east-1`).
CloudFront supporta le stesse autorità di certificazione (CAs) di Mozilla, quindi se non usi ACM, usa un certificato emesso da una CA presente nell'elenco dei certificati CA inclusi di [Mozilla](https://wiki.mozilla.org/CA/Included_Certificates).
I certificati TLS utilizzati dall'origine specificata per la CloudFront distribuzione devono essere emessi anche dalla CA presente nell'elenco dei certificati CA inclusi da Mozilla.
Per ulteriori informazioni su come ottenere e installare un certificato SSL/TLS, consulta la documentazione del software del server HTTP e la documentazione relativa all'autorità di certificazione.
## Regione AWS per AWS Certificate Manager
Per utilizzare un certificato in AWS Certificate Manager (ACM) per richiedere HTTPS tra i visualizzatori eCloudFront, assicurati di richiedere (o importare) il certificato nella regione Stati Uniti orientali (Virginia settentrionale) (). `us-east-1`
Se desideri richiedere HTTPS tra CloudFront e la tua origine e utilizzi un sistema di bilanciamento del carico in Elastic Load Balancing come origine, puoi richiedere o importare il certificato in qualsiasi formato. Regione AWS
## Formato del certificato
Il certificato deve essere in formato PEM X.509. Questo è il formato di default se si utilizza AWS Certificate Manager.
## Certificati intermedi
Se stai utilizzando un'autorità di certificazione (CA) di terza parte, nel file `.pem` elenca tutti i certificati intermedi della catena di certificati, a partire da uno per la CA che ha firmato il certificato per il tuo dominio. Di solito, puoi trovare un file sul sito Web della CA in cui vengono elencati i certificati intermedi e root concatenati nel giusto ordine.
**Importante**
Non includere i seguenti certificati: il certificato root, i certificati intermedi che non sono nel percorso attendibile oppure il certificato della chiave pubblica della CA.
Ecco un esempio:
```
-----BEGIN CERTIFICATE-----
Intermediate certificate 2
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Intermediate certificate 1
-----END CERTIFICATE-----
```
## Tipo di chiavi
CloudFront supporta coppie di chiavi pubbliche-private RSA ed ECDSA.
CloudFront supporta connessioni HTTPS sia verso i visualizzatori che verso le origini utilizzando certificati RSA ed ECDSA. Con [AWS Certificate Manager (ACM)](https://console.aws.amazon.com/acm), puoi richiedere e importare certificati RSA o ECDSA e associarli alla tua distribuzione. CloudFront
Per gli elenchi dei codici RSA ed ECDSA supportati da cui è possibile negoziare in connessioni HTTPS, CloudFront vedere e. [Protocolli e cifrari supportati tra visualizzatori e CloudFront](secure-connections-supported-viewer-protocols-ciphers.md) [Protocolli e cifrari supportati tra e l'origine CloudFront](secure-connections-supported-ciphers-cloudfront-to-origin.md)
## Chiave privata
Se utilizzi un certificato di un'autorità di certificazione (CA) esterna, tieni presente quanto segue:
+ La chiave privata deve corrispondere alla chiave pubblica presente nel certificato.
+ La chiave privata deve essere nel formato PEM.
+ La chiave privata non può essere crittografata con una password.
Se AWS Certificate Manager (ACM) ha fornito il certificato, ACM non rilascia la chiave privata. La chiave privata viene archiviata in ACM per essere utilizzata dai AWS servizi integrati con ACM.
## Permissions
È necessario disporre dell'autorizzazione per utilizzare e importare il SSL/TLS certificato. Se utilizzi AWS Certificate Manager (ACM), ti consigliamo di utilizzare AWS Identity and Access Management le autorizzazioni per limitare l'accesso ai certificati. Per ulteriori informazioni, consulta [Identity and Access Management](https://docs.aws.amazon.com/acm/latest/userguide/security-iam.html) nella *Guida per l'utente di AWS Certificate Manager *.
## Dimensioni della chiave di certificato
La dimensione della chiave del certificato CloudFront supportata dipende dal tipo di chiave e di certificato.
**Per i certificati RSA:**
CloudFront supporta chiavi RSA a 1024 bit, 2048 bit, 3072 bit e 4096 bit. La lunghezza massima della chiave per un certificato RSA da utilizzare è di 4096 bit. CloudFront
Nota che ACM emette certificati RSA con chiavi fino a 2048 bit. Per utilizzare un certificato RSA a 3072 o 4096 bit, è necessario ottenere il certificato esternamente e importarlo in ACM, dopodiché sarà disponibile per l'uso. CloudFront
Per informazioni su come stabilire le dimensioni di una chiave RSA, consulta [Determina la dimensione della chiave pubblica in un certificato SSL/TLS RSA](cnames-and-https-size-of-public-key.md).
**Per i certificati ECDSA:**
CloudFront supporta chiavi a 256 bit. Per utilizzare un certificato ECDSA in ACM per richiedere HTTPS tra i visualizzatori e CloudFront, usa la curva ellittica prime256v1.
## Tipi di certificati supportati
CloudFront supporta tutti i tipi di certificati emessi da un'autorità di certificazione affidabile.
## Data di scadenza e rinnovo certificati
Se utilizzi certificati ottenuti da un'autorità di certificazione (CA) di terze parti, devi monitorare le date di scadenza dei certificati e rinnovare i certificati importati in AWS Certificate Manager (ACM) o caricati nell'archivio AWS Identity and Access Management certificati prima della scadenza.
**Importante**
Per evitare problemi legati alla scadenza del certificato, rinnovalo o reimportalo almeno 24 ore prima del valore `NotAfter` del certificato attuale. Se il certificato scade entro 24 ore, richiedi un nuovo certificato ad ACM o importa un nuovo certificato in ACM. Successivamente, associa il nuovo certificato alla distribuzione. CloudFront
CloudFront potrebbe continuare a utilizzare il certificato precedente mentre è in corso il rinnovo o la reimportazione del certificato. Si tratta di un processo asincrono che può richiedere fino a 24 ore prima CloudFront che vengano visualizzate le modifiche.
Se utilizzi certificati forniti da ACM, ACM gestisce automaticamente il rinnovo dei certificati. Per ulteriori informazioni, consulta [Rinnovo gestito](https://docs.aws.amazon.com/acm/latest/userguide/managed-renewal.html) nella *Guida per l'utente di AWS Certificate Manager *.
## Nomi di dominio nella CloudFront distribuzione e nel certificato
Quando utilizzi un'origine personalizzata, il SSL/TLS certificato relativo alla tua origine include un nome di dominio nel campo **Nome comune** e probabilmente molti altri nel campo **Nomi alternativi dell'oggetto**. (CloudFront supporta caratteri jolly nei nomi di dominio dei certificati.)
Uno dei nomi di dominio nel certificato deve corrispondere al nome di dominio specificato per Nome dominio origine. Se nessun nome di dominio corrisponde, CloudFront restituisce il codice di stato HTTP `502 (Bad Gateway)` al visualizzatore.
**Importante**
Quando aggiungi un nome di dominio alternativo a una distribuzione, CloudFront verifica che il nome di dominio alternativo sia coperto dal certificato che hai allegato. Il certificato deve coprire il nome di dominio alternativo nel campo del nome alternativo dell'oggetto (SAN) del certificato. Ciò significa che il campo SAN deve contenere una corrispondenza esatta del nome di dominio alternativo o contenere un carattere jolly allo stesso livello del nome di dominio alternativo che si sta aggiungendo.
Per ulteriori informazioni, consulta [Requisiti per l'utilizzo di nomi di dominio alternativi](CNAMEs.md#alternate-domain-names-requirements).
## Versione minima SSL/TLS del protocollo
Se utilizzi indirizzi IP dedicati, imposta la versione minima del SSL/TLS protocollo per la connessione tra gli spettatori e CloudFront scegli una politica di sicurezza.
Per ulteriori informazioni, consulta [Politica di sicurezza ( SSL/TLS versione minima)](DownloadDistValuesGeneral.md#DownloadDistValues-security-policy) nell'argomento [Riferimento a tutte le impostazioni di distribuzione](distribution-web-values-specify.md).
## Versioni HTTP supportate
Se associ un certificato a più di una CloudFront distribuzione, tutte le distribuzioni associate al certificato devono utilizzare la stessa opzione per. [Versioni HTTP supportate](DownloadDistValuesGeneral.md#DownloadDistValuesSupportedHTTPVersions) Questa opzione viene specificata quando si crea o si aggiorna una CloudFront distribuzione.
# Quote sull'utilizzo di SSL/TLS certificati con CloudFront (HTTPS solo tra visualizzatori e CloudFront solo tra visualizzatori)
Nota le seguenti quote sull'utilizzo SSL/TLS dei certificati conCloudFront. Queste quote si applicano solo ai SSL/TLS certificati forniti utilizzando AWS Certificate Manager (ACM), importati in ACM o caricati nell'archivio certificati IAM per la comunicazione HTTPS tra i visualizzatori e. CloudFront
Per ulteriori informazioni, consulta [Aumenta le quote per i certificati SSL/TLS](increasing-the-limit-for-ssl-tls-certificates.md).
**Numero massimo di certificati per distribuzione CloudFront **
È possibile associare al massimo un SSL/TLS certificato a ciascuna CloudFront distribuzione.
**Numero massimo di certificati che puoi importare in ACM o caricare nello store certificati IAM**
Se i SSL/TLS certificati sono stati ottenuti da una CA di terze parti, è necessario archiviarli in una delle seguenti posizioni:
+ **AWS Certificate Manager**: per la quota corrente sul numero di certificati ACM, consulta [Quote](https://docs.aws.amazon.com/acm/latest/userguide/acm-limits.html) nella *Guida per l'utente di AWS Certificate Manager *. La quota elencata è un totale che include i certificati di cui è stato effettuato il provisioning utilizzando ACM e certificati importati in ACM.
+ **Archivio certificati IAM**: per la quota attuale (precedentemente nota come limite) sul numero di certificati che puoi caricare nell'archivio certificati IAM per un AWS account, consulta IAM [and STS Limits nella IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-limits.html) *User* Guide. Puoi richiedere un aumento della quota utilizzando la console Service Quotas.
**Numero massimo di certificati per AWS account (solo indirizzi IP dedicati)**
Se desideri servire le richieste HTTPS utilizzando indirizzi IP dedicati, tieni presente quanto segue:
+ Per impostazione predefinita, ti CloudFront consente di utilizzare due certificati con il tuo AWS account, uno per l'uso quotidiano e uno per quando devi ruotare i certificati per più distribuzioni.
+ Se hai bisogno di più di due SSL/TLS certificati personalizzati per il tuo AWS account, puoi richiedere una quota più alta nella console Service Quotas.
**Utilizza lo stesso certificato per CloudFront le distribuzioni create utilizzando account diversi AWS **
Se utilizzi una CA di terze parti e desideri utilizzare lo stesso certificato con più CloudFront distribuzioni create utilizzando AWS account diversi, devi importare il certificato in ACM o caricarlo nell'archivio certificati IAM una volta per ogni account. AWS
Se utilizzi certificati forniti da ACM, non puoi configurare l'utilizzo CloudFront di certificati creati da un account diverso. AWS
**Utilizza lo stesso certificato per CloudFront e per altri servizi AWS **
Se hai acquistato un certificato da un'autorità di certificazione affidabile come Comodo o Symantec, puoi utilizzare lo stesso certificato per CloudFront e per altri AWS servizi. DigiCert Se stai importando il certificato in ACM, è necessario importarlo solo una volta per utilizzarlo per più servizi AWS .
Se usi certificati forniti da ACM, i certificati vengono archiviati in ACM.
**Usa lo stesso certificato per più distribuzioni CloudFront **
È possibile utilizzare lo stesso certificato per una o per tutte le distribuzioni CloudFront utilizzate per elaborare le richieste HTTPS. Tenere presente quanto segue:
+ Puoi utilizzare lo stesso certificato sia per l'elaborazione di richieste tramite indirizzi IP dedicati sia per l'elaborazione di richieste tramite la SNI.
+ È possibile associare solo un certificato a ogni distribuzione.
+ Ogni distribuzione deve includere uno o più nomi di dominio alternativi che appariranno anche nel campo **Common Name (Nome comune)** o nel campo **Subject Alternative Names (Nomi alternativi oggetto)** del certificato.
+ Se gestisci richieste HTTPS utilizzando indirizzi IP dedicati e hai creato tutte le distribuzioni utilizzando lo stesso AWS account, puoi ridurre in modo significativo i costi utilizzando lo stesso certificato per tutte le distribuzioni. CloudFront costi per ogni certificato, non per ogni distribuzione.
Ad esempio, supponiamo di creare tre distribuzioni utilizzando lo stesso AWS account e di utilizzare lo stesso certificato per tutte e tre le distribuzioni. Ti verrà addebitata solo una tariffa per l'utilizzo di indirizzi IP dedicati.
Tuttavia, se gestisci richieste HTTPS utilizzando indirizzi IP dedicati e utilizzi lo stesso certificato per creare CloudFront distribuzioni in AWS account diversi, a ciascun account viene addebitata la tariffa per l'utilizzo di indirizzi IP dedicati. Ad esempio, se crei tre distribuzioni utilizzando tre AWS account diversi e utilizzi lo stesso certificato per tutte e tre le distribuzioni, a ciascun account viene addebitata l'intera tariffa per l'utilizzo di indirizzi IP dedicati.
# Configurazione di nomi di dominio alternativi e HTTPS
Per utilizzare nomi di dominio alternativi URLs per i file e utilizzare HTTPS tra i visualizzatori CloudFront, esegui le procedure applicabili.
**Topics**
+ [Ottieni un certificato SSL/TLS](#cnames-and-https-getting-certificates)
+ [Importa un certificato SSL/TLS](#cnames-and-https-uploading-certificates)
+ [Aggiorna la tua CloudFront distribuzione](#cnames-and-https-updating-cloudfront)
## Ottieni un certificato SSL/TLS
Richiedi un SSL/TLS certificato se non ne hai già uno. Per ulteriori informazioni, consulta la documentazione relativa:
+ Per utilizzare un certificato fornito da AWS Certificate Manager (ACM), consulta la [Guida per l'AWS Certificate Manager utente](https://docs.aws.amazon.com/acm/latest/userguide/). Quindi passa a [Aggiorna la tua CloudFront distribuzione](#cnames-and-https-updating-cloudfront).
**Nota**
Si consiglia di utilizzare ACM per fornire, gestire e distribuire SSL/TLS certificati su AWS risorse gestite. È necessario richiedere un certificato ACM nella regione degli Stati Uniti orientali (Virginia settentrionale).
+ Per ottenere un certificato da un'autorità di certificazione esterna (CA), consulta la documentazione fornita dall'autorità di certificazione. Quando hai il certificato, continua con la procedura.
## Importa un certificato SSL/TLS
Se hai ricevuto il tuo certificato da un'autorità di certificazione di terze parti, importa il certificato in ACM o caricalo nello store certificati IAM:
**ACM (consigliato)**
ACM ti consente di importare certificati di terze parti dalla console ACM, nonché in modo programmatico. Per informazioni sull'importazione di un certificato in ACM, consulta [Importazione di certificati in AWS Certificate Manager](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate.html) nella *Guida per l'utente di AWS Certificate Manager *. È necessario importare il certificato nella regione Stati Uniti orientali (Virginia settentrionale).
**Archivio certificati IAM**
(Non consigliato) Utilizza il seguente AWS CLI comando per caricare il certificato di terze parti nell'archivio certificati IAM.
```
aws iam upload-server-certificate \
--server-certificate-name CertificateName \
--certificate-body file://public_key_certificate_file \
--private-key file://privatekey.pem \
--certificate-chain file://certificate_chain_file \
--path /cloudfront/path/
```
Tenere presente quanto segue:
+ **AWS account**: devi caricare il certificato nell'archivio certificati IAM utilizzando lo stesso AWS account che hai usato per creare la tua CloudFront distribuzione.
+ **--parametro del percorso** - Quando si carica il certificato in IAM, il valore del parametro `--path` (percorso certificato) deve iniziare con `/cloudfront/`, ad esempio `/cloudfront/production/` o `/cloudfront/test/`. Il percorso deve terminare con una /.
+ **Certificati esistenti**: devi specificare i valori per i parametri `--server-certificate-name` e `--path` diversi dai valori associati ai certificati esistenti.
+ **Utilizzo della CloudFront console**: il valore specificato per il `--server-certificate-name` parametro, ad esempio AWS CLI`myServerCertificate`, viene visualizzato nell'elenco dei **certificati SSL** della CloudFront console.
+ **Utilizzo dell' CloudFront API**: prendi nota della stringa alfanumerica che AWS CLI restituisce, ad esempio. `AS1A2M3P4L5E67SIIXR3J` Questo è il valore che verrà specificato nell'elemento `IAMCertificateId`. Non hai bisogno dell'ARN IAM che viene restituito dalla CLI.
Per ulteriori informazioni su AWS CLI, consulta la [Guida per l'AWS Command Line Interface utente](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) e il [AWS CLI Command](https://docs.aws.amazon.com/cli/latest/reference/) Reference.
## Aggiorna la tua CloudFront distribuzione
Per aggiornare le impostazioni della distribuzione, esegui la procedura seguente:
**Per configurare la CloudFront distribuzione per nomi di dominio alternativi**
1. Accedi a Console di gestione AWS e apri la CloudFront console all'indirizzo[https://console.aws.amazon.com/cloudfront/v4/home](https://console.aws.amazon.com/cloudfront/v4/home).
1. Scegli l'ID della distribuzione che intendi aggiornare.
1. Nella scheda **General (Generale)**, seleziona **Edit (Modifica)**.
1. Aggiorna i seguenti valori:
**Nome di dominio alternativo (CNAME)**
Selezionare **Aggiungi elemento** per aggiungere i nomi di dominio alternativi applicabili. Separa i nomi di dominio con le virgole o digita ogni nome di dominio su una riga.
**Certificato SSL personalizzato**
Seleziona un certificato dall'elenco a discesa.
Di seguito sono elencati fino a 100 certificati. Se disponi di più di 100 certificati e non riesci a visualizzare il certificato che desideri aggiungere, puoi digitare un ARN del certificato nel campo per la selezione.
Se hai caricato un certificato nell'archivio certificati IAM ma non è elencato e non puoi selezionarlo digitandone il nome nel campo, consulta la procedura [Importa un certificato SSL/TLS](#cnames-and-https-uploading-certificates) per avere la conferma del suo corretto caricamento.
Dopo aver associato il SSL/TLS certificato alla CloudFront distribuzione, non eliminarlo da ACM o dall'archivio certificati IAM finché non lo rimuovi da tutte le distribuzioni e tutte le distribuzioni non sono state distribuite.
1. Scegli **Save changes** (Salva modifiche).
1. Configura CloudFront per richiedere HTTPS tra i visualizzatori e: CloudFront
1. Nella scheda **Behaviors (Comportamenti)**, seleziona il comportamento cache che desideri aggiornare, quindi seleziona **Edit (Modifica)**.
1. Specifica uno dei valori seguenti per **Viewer Protocol Policy (Policy protocollo visualizzatore)**:
**Reindirizza HTTP a HTTPS**
I visualizzatori possono utilizzare entrambi i protocolli, ma le richieste HTTP vengono automaticamente reindirizzate alle richieste HTTPS. CloudFront restituisce il codice di stato HTTP `301 (Moved Permanently)` con il nuovo URL HTTPS. Il visualizzatore invia quindi nuovamente la richiesta CloudFront utilizzando l'URL HTTPS.
CloudFront non reindirizza`DELETE`, `OPTIONS` `PATCH``POST`, o `PUT` le richieste da HTTP a HTTPS. Se configuri un comportamento della cache per il reindirizzamento a HTTPS, CloudFront risponde a HTTP,`DELETE`, `OPTIONS` `PATCH``POST`, o `PUT` alle richieste relative a tale comportamento della cache con il codice di stato HTTP. `403 (Forbidden)`
Quando un visualizzatore effettua una richiesta HTTP che viene reindirizzata a una richiesta HTTPS, vengono CloudFront addebitati i costi per entrambe le richieste. Per la richiesta HTTP, l'addebito è solo per la richiesta e per le intestazioni che CloudFront restituisce al visualizzatore. Per la richiesta HTTPS, l'addebito è per la richiesta, le intestazione e il file restituiti dal server di origine.
**Solo HTTPS**
I visualizzatori possono accedere ai contenuti solo se utilizzano connessioni HTTPS. Se un visualizzatore invia una richiesta HTTP anziché una richiesta HTTPS, CloudFront restituisce il codice di stato HTTP `403 (Forbidden)` e non restituisce il file.
1. Seleziona **Yes, Edit (Sì, modifica)**.
1. Ripeti le fasi da "a" a "c" per ciascun comportamento cache aggiuntivo per il quale desideri richiedere una connessione HTTPS tra visualizzatori e CloudFront.
1. Conferma ciò che segue prima di utilizzare la configurazione aggiornata in un ambiente di produzione:
+ Il modello di percorso in ciascun comportamento cache si applica solo alle richieste per le quali desideri che i visualizzatori utilizzino una connessione HTTPS.
+ I comportamenti cache sono elencati nell'ordine in cui desideri vengano valutati da CloudFront. Per ulteriori informazioni, consulta [Modello di percorso](DownloadDistValuesCacheBehavior.md#DownloadDistValuesPathPattern).
+ I comportamenti cache sono richieste di routing ai server di origine corretti.
# Determina la dimensione della chiave pubblica in un certificato SSL/TLS RSA
Quando utilizzi nomi di dominio CloudFront alternativi e HTTPS, la dimensione massima della chiave pubblica in un certificato SSL/TLS RSA è di 4096 bit. (Questa è la dimensione della chiave, non si riferisce al numero di caratteri nella chiave pubblica.) Se utilizzi AWS Certificate Manager per i tuoi certificati, sebbene ACM supporti chiavi RSA più grandi, non puoi utilizzare le chiavi più grandi con. CloudFront
Puoi stabilire le dimensioni della chiave pubblica RSA eseguendo il seguente comando OpenSSL:
```
openssl x509 -in path and filename of SSL/TLS certificate -text -noout
```
Dove:
+ `-in`specifica il percorso e il nome del file del certificato RSA. SSL/TLS
+ `-text` fa sì che OpenSSL visualizzi la lunghezza della chiave pubblica RSA in bit.
+ `-noout` impedisce a OpenSSL di visualizzare la chiave pubblica.
Output di esempio:
```
Public-Key: (2048 bit)
```
# Aumenta le quote per i certificati SSL/TLS
Esistono quote sul numero di SSL/TLS certificati che puoi importare in AWS Certificate Manager (ACM) o caricare su (IAM). AWS Identity and Access Management Esiste anche una quota sul numero di SSL/TLS certificati che è possibile utilizzare Account AWS quando si configura CloudFront per soddisfare le richieste HTTPS utilizzando indirizzi IP dedicati. Tuttavia, puoi richiedere quote più elevate.
**Topics**
+ [Aumento della quota sui certificati importati in ACM](#certificates-to-import-into-acm)
+ [Aumento della quota sui certificati caricati su IAM](#certificates-to-upload-into-iam)
+ [Aumento della quota sui certificati utilizzati con indirizzi IP dedicati](#certificates-using-dedicated-ip-address)
## Aumento della quota sui certificati importati in ACM
Per la quota relativa al numero di certificati che puoi importare in ACM, consulta [Quote](https://docs.aws.amazon.com/acm/latest/userguide/acm-limits.html) nella *Guida per l'utente di AWS Certificate Manager *.
Per richiedere una quota più elevata, utilizza la console Service Quotas. Per ulteriori informazioni, consulta [Richiesta di un aumento delle quote nella ](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-quota-increase.html)Guida per l’utente di Service Quotas**.
## Aumento della quota sui certificati caricati su IAM
Per la quota (precedentemente nota come limite) sul numero di certificati che puoi caricare su IAM, consulta [IAM e quote STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-limits.html) nella *Guida per l'utente IAM*.
Per richiedere una quota più elevata, utilizza la console Service Quotas. Per ulteriori informazioni, consulta [Richiesta di un aumento delle quote nella ](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-quota-increase.html)Guida per l’utente di Service Quotas**.
## Aumento della quota sui certificati utilizzati con indirizzi IP dedicati
Per la quota relativa al numero di certificati SSL che puoi utilizzare per ciascuno di essi Account AWS quando gestisci richieste HTTPS utilizzando indirizzi IP dedicati, [Quote sui certificati SSL](cloudfront-limits.md#limits-ssl-certificates) consulta.
Per richiedere una quota più elevata, utilizza la console Service Quotas. Per ulteriori informazioni, consulta [Richiesta di un aumento delle quote nella ](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-quota-increase.html)Guida per l’utente di Service Quotas**.
# Ruota SSL/TLS i certificati
Quando i SSL/TLS certificati sono prossimi alla scadenza, devi ruotarli per garantire la sicurezza della distribuzione ed evitare interruzioni del servizio per i tuoi spettatori. Puoi ruotarli nei modi seguenti:
+ Per SSL/TLS i certificati forniti da AWS Certificate Manager (ACM), non è necessario ruotarli. ACM gestisce *automaticamente* i rinnovi dei certificati. Per ulteriori informazioni, consulta [Rinnovo dei certificati gestiti](https://docs.aws.amazon.com/acm/latest/userguide/acm-renewal.html) nella *Guida per l’utente di AWS Certificate Manager *.
+ Se si utilizza un’autorità di certificazione di terze parti e si sono importati i certificati in ACM (consigliato) o li si è caricati nell’archivio certificati IAM, è necessario sostituire occasionalmente un certificato con un altro.
**Importante**
ACM non gestisce i rinnovi di certificati acquisiti da autorità di certificazione di terze parti e importati in ACM.
Se sei configurato CloudFront per soddisfare le richieste HTTPS utilizzando indirizzi IP dedicati, potresti incorrere in un costo aggiuntivo proporzionale per l'utilizzo di uno o più certificati aggiuntivi durante la rotazione dei certificati. Ti consigliamo di aggiornare le distribuzioni per ridurre al minimo i costi aggiuntivi.
## Ruota i certificati SSL/TLS
Per ruotare i certificati, esegui la procedura seguente. I visualizzatori possono continuare ad accedere ai tuoi contenuti mentre ruoti i certificati e una volta completato il processo.
**Per ruotare i certificati SSL/TLS**
1. [Aumenta le quote per i certificati SSL/TLS](increasing-the-limit-for-ssl-tls-certificates.md) per stabilire se hai bisogno dell'autorizzazione per utilizzare altri certificati SSL. In questo caso, richiedi l'autorizzazione e attendi fino a quando non l'hai ricevuta prima di continuare con la fase 2.
1. Importa il nuovo certificato in ACM o caricalo su IAM. Per ulteriori informazioni, consulta [Importazione di un SSL/TLS certificato](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/cnames-and-https-procedures.html#cnames-and-https-uploading-certificates) nella *Amazon CloudFront Developer Guide*.
1. (Solo per certificati IAM) Aggiorna le distribuzioni una alla volta per utilizzare il nuovo certificato. Per ulteriori informazioni, consulta [Aggiornamento di una distribuzione](HowToUpdateDistribution.md).
1. (Facoltativo) Elimina il certificato precedente da ACM o IAM.
**Importante**
Non eliminare un SSL/TLS certificato finché non lo rimuovi da tutte le distribuzioni e finché lo stato delle distribuzioni che hai aggiornato non è cambiato. `Deployed`
# Passa da un SSL/TLS certificato personalizzato al certificato predefinito CloudFront
Se hai configurato CloudFront l'uso di HTTPS tra i visualizzatori e CloudFront hai configurato CloudFront per utilizzare un SSL/TLS certificato personalizzato, puoi modificare la configurazione per utilizzare il certificato CloudFront SSL/TLS predefinito. Il processo dipende dal fatto se hai utilizzato la tua distribuzione per distribuire i tuoi contenuti:
+ Se non hai utilizzato la tua distribuzione per distribuire i contenuti, puoi semplicemente modificare la configurazione. Per ulteriori informazioni, consulta [Aggiornamento di una distribuzione](HowToUpdateDistribution.md).
+ Se hai utilizzato la tua distribuzione per distribuire i contenuti, devi creare una nuova CloudFront distribuzione e modificare i file URLs per ridurre o eliminare il periodo di indisponibilità dei contenuti. A questo scopo, esegui la procedura seguente.
## Ripristina il certificato predefinito CloudFront
La procedura seguente mostra come tornare da un SSL/TLS certificato personalizzato al certificato predefinito CloudFront .
**Per tornare al certificato predefinito CloudFront**
1. Crea una nuova CloudFront distribuzione con la configurazione desiderata. Come **Certificato SSL**, seleziona **Certificato CloudFront predefinito (\$1.cloudfront.net)**.
Per ulteriori informazioni, consulta [Creazione di una distribuzione](distribution-web-creating-console.md).
1. Per i file che stai distribuendo utilizzando CloudFront, aggiorna l'applicazione URLs in modo da utilizzare il nome di dominio CloudFront assegnato alla nuova distribuzione. Ad esempio, modifica `https://www.example.com/images/logo.png` in `https://d111111abcdef8.cloudfront.net/images/logo.png`.
1. **Elimina la distribuzione associata a un certificato SSL/TLS personalizzato o aggiorna la distribuzione per modificare il valore del certificato **SSL** in Certificato predefinito (\$1.cloudfront.net). CloudFront ** Per ulteriori informazioni, consulta [Aggiornamento di una distribuzione](HowToUpdateDistribution.md).
**Importante**
Finché non completerai questo passaggio, continuerai ad addebitarti i costi per l'utilizzo di un certificato personalizzato. AWS SSL/TLS
1. (Facoltativo) Elimina il SSL/TLS certificato personalizzato.
1. Esegui il AWS CLI comando `list-server-certificates` per ottenere l'ID del certificato che desideri eliminare. Per ulteriori informazioni, consulta [list-server-certificates](https://docs.aws.amazon.com/cli/latest/reference/iam/list-server-certificates.html) nella *documentazione di riferimento dei comandi della AWS CLI *.
1. Esegui il AWS CLI comando `delete-server-certificate` per eliminare il certificato. Per ulteriori informazioni, consulta [delete-server-certificate](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-server-certificate.html) nella *documentazione di riferimento dei comandi della AWS CLI *.
# Passa da un SSL/TLS certificato personalizzato con indirizzi IP dedicati a SNI
Se hai configurato CloudFront per utilizzare un SSL/TLS certificato personalizzato con indirizzi IP dedicati, puoi invece passare all'utilizzo di un SSL/TLS certificato personalizzato con SNI ed eliminare i costi associati agli indirizzi IP dedicati.
**Importante**
Questo aggiornamento della CloudFront configurazione non ha alcun effetto sui visualizzatori che supportano SNI. Gli utenti possono accedere ai contenuti prima e dopo la modifica, nonché durante la propagazione della modifica verso le sedi periferiche. CloudFront I visualizzatori che non supportano SNI non possono accedere ai contenuti dopo la modifica. Per ulteriori informazioni, consulta [Scegli in che modo CloudFront vengono servite le richieste HTTPS](cnames-https-dedicated-ip-or-sni.md).
## Passaggio da un certificato personalizzato a SNI
La procedura seguente mostra come passare da un SSL/TLS certificato personalizzato con indirizzi IP dedicati a SNI.
**Per passare da un SSL/TLS certificato personalizzato con indirizzi IP dedicati a SNI**
1. Accedi a Console di gestione AWS e apri la CloudFront console all'indirizzo[https://console.aws.amazon.com/cloudfront/v4/home](https://console.aws.amazon.com/cloudfront/v4/home).
1. Seleziona l'ID della distribuzione che desideri visualizzare o aggiornare.
1. Seleziona **Distribution Settings (Impostazioni distribuzione)**.
1. Nella scheda **General (Generale)**, seleziona **Edit (Modifica)**.
1. In **Certificazione SSL personalizzata – *facoltativa***, deseleziona **Supporto per client legacy**.
1. Seleziona **Yes, Edit (Sì, modifica)**.