# 在 CloudFront 中使用 SSL/TLS 证书的配额(仅在查看器和 CloudFront 之间使用 HTTPS) 请注意在 CloudFront 中使用 SSL/TLS 证书的以下配额。这些配额仅适用于您使用 AWS Certificate Manager (ACM) 预置的 SSL/TLS 证书,或导入 ACM 或上传到 IAM 证书存储供查看器和 CloudFront 之间进行 HTTPS 通信的 SSL/TLS 证书。 有关更多信息,请参阅 [增加 SSL/TLS 证书的配额](increasing-the-limit-for-ssl-tls-certificates.md)。 **每个 CloudFront 分配的最大证书数量** 最多可以将一个 SSL/TLS 证书与每个 CloudFront 分配关联。 **您可以导入 ACM 或上载到 IAM 证书存储的证书的最大数量** 如果您从第三方 CA 获得了 SSL/TLS 证书,则必须在下列位置之一存储证书: + **AWS Certificate Manager** – 有关 ACM 证书数量的当前配额,请参阅《AWS Certificate Manager 用户指南》**中的[配额](https://docs.aws.amazon.com/acm/latest/userguide/acm-limits.html)。列出的限制是总数,包括您使用 ACM 预置的证书以及您导入 ACM 的证书。 + **IAM 证书存储** – 有关您可以上载到 IAM 证书存储以供 AWS 账户使用的证书数的当前配额(以前称为限制),请参阅《IAM 用户指南》**中的 [IAM 和 STS 限制](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-limits.html)。您可以在服务配额控制台中申请更高的配额。 **每个 AWS 账户的证书的最大数量(仅限专用 IP 地址)** 如果要使用专用 IP 地址处理 HTTPS 请求,请注意以下几点: + 默认情况下,CloudFront 向您授权以供您的 AWS 账户使用两个证书,一个用于日常使用,另一个用于您需要轮换证书以满足多个分配的情况。 + 如果您的 AWS 账户需要两个以上的自定义 SSL/TLS 证书,则可以在服务配额控制台中申请更高的配额。 **对使用不同AWS账户创建的 CloudFront 分配使用同一个证书** 如果您使用的是第三方 CA,并且希望针对不同 AWS 账户创建的多个 CloudFront 分配使用同一个证书,则必须将证书导入 ACM,或者为每个 AWS 账户将其上传至 IAM 证书存储一次。 如果您使用的是 ACM 提供的证书,则不能将 CloudFront 配置为使用其他 AWS 账户创建的证书。 **为 CloudFront 和其他AWS服务使用同一个证书** 如果您从信任的证书颁发机构 (如 Comodo、DigiCert 或 Symantec) 购买了证书,则可以对 CloudFront 和其他 AWS 服务使用同一个证书。如果要将证书导入到 ACM,您只需要导入一次即可供多个 AWS 服务使用。 如果您使用的是 ACM 提供的证书,这些证书会存储在 ACM 中。 **为多个 CloudFront 分配使用同一个证书** 对于任何或所有您正用来提供 HTTPS 请求的 CloudFront 分配,您都可以使用同一个证书。请注意以下几点: + 您可以使用同一个证书来使用专用 IP 地址处理请求以及使用 SNI 处理请求。 + 只能将一个证书与每个分配关联。 + 每个分配必须包含一个或多个备用域名,这些域名也会出现在证书的**公用名**字段或**主题备用名称**字段中。 + 如果您正在使用专用 IP 地址提供 HTTPS 请求并且已使用同一个 AWS 账户创建您的所有分配,您可以为所有分配使用同一个证书,这样可以显著降低成本。CloudFront 对每个证书而不是每个分配收费。 例如,假设您使用同一个 AWS 账户创建了三个分配,并且您对所有三个分配使用同一个证书。将仅针对您使用专用 IP 地址计算一次费用。 但是,如果您正在使用专用 IP 地址处理 HTTPS 请求并且正在使用同一个证书在不同的 AWS 账户中创建 CloudFront 分配,则会向每个账户收取专用 IP 地址的使用费。例如,如果您使用三个不同的 AWS 账户创建三个分配,并且您为所有三个分配使用同一个证书,则向每个账户收取专用 IP 地址的完整使用费。