选择您的 Cookie 首选项

我们使用必要 Cookie 和类似工具提供我们的网站和服务。我们使用性能 Cookie 收集匿名统计数据,以便我们可以了解客户如何使用我们的网站并进行改进。必要 Cookie 无法停用,但您可以单击“自定义”或“拒绝”来拒绝性能 Cookie。

如果您同意,AWS 和经批准的第三方还将使用 Cookie 提供有用的网站功能、记住您的首选项并显示相关内容,包括相关广告。要接受或拒绝所有非必要 Cookie,请单击“接受”或“拒绝”。要做出更详细的选择,请单击“自定义”。

首选项
联系我们
反馈
AWS Documentation
创建 AWS 账户

在 CloudFront 中使用 SSL/TLS 证书的要求

PDF
RSS
聚焦模式
在 CloudFront 中使用 SSL/TLS 证书的要求 - Amazon CloudFront
证书颁发者用于 AWS Certificate Manager 的 AWS 区域证书格式中间证书密钥类型私有密钥权限证书密钥大小支持的证书类型证书到期日期和续订CloudFront 分配和证书中的域名最低 SSL/TLS 协议版本支持的 HTTP 版本

本主题中介绍了 SSL/TLS 证书的要求。除非另有说明,否则这些要求均适用于以下两项:

  • 在查看器和 CloudFront 之间使用 HTTPS 的证书

  • 在 CloudFront 和您的源之间使用 HTTPS 的证书

证书颁发者

建议您使用由 AWS Certificate Manager(ACM)颁发的公有证书。有关从 ACM 获取证书的信息,请参阅 AWS Certificate Manager 用户指南。要在 CloudFront 中使用 ACM 证书,请确保您在美国东部(弗吉尼亚州北部)区域 (us-east-1) 中请求(或导入)该证书。

CloudFront 与 Mozilla 支持相同的证书颁发机构 (CA),因此如果您不使用 ACM,请使用 Mozilla 包含的 CA 证书列表中的 CA 颁发的证书。有关获取和安装证书的更多信息,请参考 HTTP 服务器软件文档和 CA 文档。

用于 AWS Certificate Manager 的 AWS 区域

要在 AWS Certificate Manager(ACM)中使用证书以要求在查看器和 CloudFront 之间使用 HTTPS,请确保您在美国东部(弗吉尼亚州北部)区域(us-east-1)中请求(或导入)该证书。

如果您需要在 CloudFront 和您的源之间使用 HTTPS,并且正在 Elastic Load Balancing 中使用负载均衡器作为源,则您可以在任何 AWS 区域中请求或导入证书。

证书格式

证书必须采用 X.509 PEM 格式。这是您使用 AWS Certificate Manager 时的原定设置格式。

中间证书

如果您使用的是第三方证书颁发机构 (CA),请在 .pem 文件的证书链中列出所有中间证书,从为您的域签署证书的 CA 所颁发的证书开始。通常,您将在以适当的链顺序列出中间证书和根证书的 CA 网站上找到文件。

重要

请不要包括以下内容:根证书,未在信任路径中的中间证书,或者 CA 的公有密钥证书。

示例如下:

-----BEGIN CERTIFICATE-----
Intermediate certificate 2
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Intermediate certificate 1
-----END CERTIFICATE-----

密钥类型

CloudFront 支持 RSA 和 ECDSA 公有/私有密钥对。

CloudFront 支持使用 RSA 和 ECDSA 证书连接到查看器和源的 HTTPS 连接。借助 AWS Certificate Manager(ACM),您可以请求和导入 RSA 或 ECDSA 证书,然后将它们与您的 CloudFront 分配相关联。

有关 CloudFront 支持的您可以在 HTTPS 连接中协商的 RSA 和 ECDSA 密码的列表,请参阅查看器和 CloudFront 之间支持的协议和密码CloudFront 与源之间受支持的协议和密码

私有密钥

如果您使用的是来自第三方证书颁发机构 (CA) 的证书,请注意以下几点:

  • 私有密钥必须匹配证书中的公有密钥。

  • 私有密钥必须采用 PEM 格式。

  • 私有密钥无法使用密码加密。

如果 AWS Certificate Manager (ACM) 提供了证书,则 ACM 不会发布该私有密钥。私有密钥存储在 ACM 中,供与 ACM 集成的 AWS 服务使用。

权限

您必须具备使用和导入 SSL/TLS 证书的权限。如果您使用 AWS Certificate Manager (ACM),建议您使用 AWS Identity and Access Management 权限以限制访问证书。有关更多信息,请参阅《AWS Certificate Manager 用户指南》中的身份和访问权限管理

证书密钥大小

CloudFront 支持的证书密钥大小取决于密钥和证书类型。

对于 RSA 证书:

CloudFront 支持 1024 位、2048 位、3072 位和 4096 位 RSA 密钥。用于 CloudFront 的 RSA 证书的最大密钥长度为 4096 位。

请注意,ACM 颁发密钥最多为 2048 位的 RSA 证书。要使用 3072 位或 4096 位 RSA 证书,您需要从外部获取该证书并将其导入 ACM,之后即可将其与 CloudFront 一起使用。

有关如何确定 RSA 密钥大小的信息,请参阅确定 SSL/TLS RSA 证书中公有密钥的大小

对于 ECDSA 证书:

CloudFront 支持 256 位密钥。要在 ACM 中使用 ECDSA 证书以要求在查看器和 CloudFront 之间使用 HTTPS,请使用 prime256v1 椭圆曲线。

支持的证书类型

CloudFront 支持可信的证书颁发机构颁发的所有类型的证书。

证书到期日期和续订

如果您使用来自第三方证书颁发机构 (CA) 的证书,则您必须监控证书到期日期并在到期前续订导入到 AWS Certificate Manager (ACM) 或上载到 AWS Identity and Access Management 证书存储的证书。

重要

为避免发生证书过期问题,请在当前证书的 NotAfter 值之前至少 24 小时续订或重新导入证书。如果您的证书将在 24 小时内过期,请从 ACM 申请新证书或将新证书导入 ACM。接下来,将新证书关联到 CloudFront 分配。

在您的证书续订或重新导入过程中,CloudFront 可能会继续使用以前的证书。这是个异步过程,CloudFront 最长可能需要 24 小时才能显示您的更改。

如果您使用 ACM 提供的证书,则 ACM 会为您管理证书续订。有关更多信息,请参阅《AWS Certificate Manager 用户指南》中的托管续订

CloudFront 分配和证书中的域名

当您使用自定义源时,源上 SSL/TLS 证书的公用名字段中包含域名,使用者备用名称字段中可能包含更多域名。(CloudFront 支持证书域名中的通配符。)

证书中的其中一个域名必须与您为“源域名”指定的域名匹配。如果没有任何域名匹配,CloudFront 会向查看器返回 HTTP 状态代码 502 (Bad Gateway)

重要

在将备用域名添加到分配时,CloudFront 会检查备用域名是否涵盖在您附加的证书中。证书必须在证书的使用者备用名称 (SAN) 字段中覆盖备用域名。这意味着,SAN 字段必须包含备用域名的完全匹配项,或者包含与要添加的备用域名级别相同的通配符。

有关更多信息,请参阅 使用备用域名的要求

最低 SSL/TLS 协议版本

如果您使用的是专用 IP 地址,请通过选择安全策略来为查看器和 CloudFront 之间的连接选择最低 SSL/TLS 协议版本。

有关更多信息,请参阅 安全策略(最低 SSL/TLS 版本)主题中的 分配设置参考

支持的 HTTP 版本

如果您将一个证书与多个 CloudFront 分配关联,则与证书关联的所有分配都必须针对支持的 HTTP 版本使用相同的选项。您在创建或更新 CloudFront 分配时指定此选项。

本页内容

隐私网站条款Cookie 首选项
© 2025, Amazon Web Services, Inc. 或其附属公司。保留所有权利。