Requisitos para usar certificados SSL/TLS com o CloudFront
Os requisitos para certificados SSL/TLS estão descritos neste tópico. Eles se aplicam a ambas as opções a seguir, exceto conforme observado:
-
Certificados para o uso de HTTPS entre visualizadores e o CloudFront
-
Certificados para o uso de HTTPS entre o CloudFront e sua origem
Tópicos
- Emissor do certificado
- Região da AWS para AWS Certificate Manager
- Formato do certificado
- Certificados intermediários
- Tipo de chave
- Chave privada
- Permissões
- Tamanho da chave do certificado
- Tipos de certificados compatíveis
- Data de expiração e renovação do certificado
- Nomes de domínio na distribuição do CloudFront e no certificado
- Versão mínima do protocolo SSL/TLS
- Versões de HTTP compatíveis
Emissor do certificado
Recomendamos usar um certificado emitido pelo AWS Certificate Manager (ACM)us-east-1
).
O CloudFront é compatível com as mesmas autoridades de certificação (CAs) da Mozilla. Portanto, se você não usa o ACM, use um certificado emitido por uma CA na Lista de certificados CA incluídos no Mozilla
Região da AWS para AWS Certificate Manager
Para usar um certificado no AWS Certificate Manager (ACM) a fim de exigir HTTPS entre visualizadores e o CloudFront, solicite (ou importe) o certificado na região Leste dos EUA (Norte da Virgínia) (us-east-1
).
Para exigir HTTPS entre o CloudFront e a origem se estiver usando um balanceador de carga no Elastic Load Balancing como origem, você poderá solicitar ou importar um certificado de qualquer Região da AWS.
Formato do certificado
O certificado deve estar no formato X.509 PEM. Esse será o formato padrão se você estiver usando o AWS Certificate Manager.
Certificados intermediários
Se você estiver usando uma autoridade de certificação (CA) de terceiros, indique todos os certificados intermediários na cadeia existente no arquivo .pem
, começando com um para a CA que assinou o certificado do seu domínio. Normalmente, é possível encontrar um arquivo no site da sua CA com os certificados raiz e intermediários na ordem adequada da cadeia.
Importante
Não inclua o seguinte: o certificado raiz, certificados intermediários não presentes no caminho de relação de confiança nem o certificado de chave pública da sua CA.
Veja um exemplo abaixo:
-----BEGIN CERTIFICATE-----
Intermediate certificate 2
-----END CERTIFICATE----- -----BEGIN CERTIFICATE-----Intermediate certificate 1
-----END CERTIFICATE-----
Tipo de chave
O CloudFront é compatível com pares de chaves RSA e ECDSA públicas/privadas.
O CloudFront oferece suporte a conexões HTTPS para visualizadores e origens usando certificados RSA e ECDSA. Com o AWS Certificate Manager (ACM)
Para obter as listas de criptografias RSA e ECDSA compatíveis com o CloudFront que você pode negociar em conexões HTTPS, consulte Protocolos e cifras compatíveis entre visualizadores e o CloudFront e Protocolos e criptografias compatíveis entre o CloudFront e a origem.
Chave privada
Se você estiver usando um certificado de uma autoridade de certificação (CA) terceirizada, observe:
-
A chave privada deve ser correspondente à chave pública que está no certificado.
-
A chave privada deve estar no formato PEM.
-
A chave privada não pode ser criptografada com senha.
Se o AWS Certificate Manager (ACM) forneceu o certificado, ele não liberará a chave privada. A chave privada é armazenada no ACM para uso pelos serviços da AWS integrados a ele.
Permissões
É necessário ter permissão para usar e importar o certificado SSL/TLS. Se você estiver usando o AWS Certificate Manager (ACM), recomendamos usar as permissões do AWS Identity and Access Management para restringir o acesso aos certificados. Para obter mais informações, consulte Gerenciamento de identidade e acesso no Manual do usuário do AWS Certificate Manager.
Tamanho da chave do certificado
O tamanho de chave de certificado aceito pelo CloudFront depende dos tipos da chave e do certificado.
- Para certificados RSA:
-
O CloudFront é compatível com chaves RSA de 1.024 bits, 2.048 bits, 3.072 bits e 4.096 bits. O tamanho máximo de chave de um certificado RSA usado com o CloudFront é de 4.096 bits.
Observe que o ACM emite certificados RSA com chaves de até 2048 bits. Para usar um certificado RSA de 3.072 bits ou 4.096 bits, você precisa obter o certificado externamente e importá-lo para o ACM a fim de que ele esteja disponível para uso com o CloudFront.
Para obter informações sobre como determinar o tamanho da chave RSA, consulte Determinar o tamanho da chave pública em um certificado RSA SSL/TLS.
- Para certificados ECDSA:
-
O CloudFront é compatível com chaves de 256 bits. Para usar um certificado ECDSA no ACM para exigir HTTPS entre visualizadores e o CloudFront, use a curva elíptica prime256v1.
Tipos de certificados compatíveis
O CloudFront é compatível com todos os tipos de certificados emitidos por uma autoridade de certificação confiável.
Data de expiração e renovação do certificado
Se estiver usando certificados obtidos de uma autoridade de certificação (CA) de terceiros, você será responsável por monitorar as datas de validade e renovar os certificados importados para o AWS Identity and Access Management (ACM) ou carregá-los para o armazenamento de certificados do AWS Certificate Manager antes que eles expirem.
Se você estiver usando certificados fornecidos pelo ACM, ele gerenciará as renovações. Para obter mais informações, consulte Renovação gerenciada no Guia do usuário do AWS Certificate Manager.
Nomes de domínio na distribuição do CloudFront e no certificado
Quando você usa uma origem personalizada, o certificado SSL/TLS na sua origem incluirá um nome de domínio no campo Common Name (Nome comum) e, possivelmente, vários outros no campo Subject Alternative Names (Nomes alternativos do sujeito). (O CloudFront oferece suporte a caracteres curinga em nomes de domínio de certificados.)
Um dos nomes de domínio do certificado deve ser correspondente ao nome de domínio especificado em "Origin Domain Name". Se nenhum nome de domínio corresponder, o CloudFront retornará um código de status HTTP 502 (Bad Gateway)
para o visualizador.
Importante
Ao adicionar um nome de domínio alternativo a uma distribuição, o CloudFront verifica se o nome de domínio alternativo está coberto pelo certificado que foi anexado. O certificado deve abranger o nome de domínio alternativo no campo de nome alternativo de assunto (SAN) do certificado. Isso significa que o campo SAN deve conter uma correspondência exata para o nome de domínio alternativo ou conter um curinga no mesmo nível do nome de domínio alternativo que você está adicionando.
Para obter mais informações, consulte Requisitos para o uso de nomes de domínio alternativos.
Versão mínima do protocolo SSL/TLS
Se estiver usando endereços IP dedicados, defina a versão mínima do protocolo SSL/TLS para a conexão entre os visualizadores e o CloudFront escolhendo uma política de segurança.
Para obter mais informações, consulte Política de segurança (versão mínima de SSL/TLS) no tópico Referência de configurações da distribuição.
Versões de HTTP compatíveis
Se você associar um certificado a mais de uma distribuição do CloudFront, todas as distribuições associadas ao certificado deverão usar a mesma opção para Versões de HTTP compatíveis. Especifique essa opção ao criar ou atualizar uma distribuição do CloudFront.