本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
本主題描述 SSL/TLS 憑證的需求。它們適用於以下兩種情況 (除非另有說明):
-
適用於檢視器和 CloudFront 之間使用 HTTPS 的憑證
-
適用於 CloudFront 與原始伺服器之間使用 HTTPS 的憑證
主題
憑證發行者
我們建議您使用 AWS Certificate Manager (ACM)us-east-1) 請求 (或匯入) 憑證。
CloudFront 支援與 Mozilla 相同的憑證授權機構 (CA),因此如果您不使用 ACM,請使用由 Mozilla 所含憑證授權機構憑證清單
AWS 區域 的 AWS Certificate Manager
若要在 AWS Certificate Manager (ACM) 中使用憑證來要求檢視器和 CloudFront 之間的 HTTPS,請務必在美國東部 (維吉尼亞北部) 區域 () 請求 (或匯入) 憑證us-east-1。
如果您想要在 CloudFront 和原始伺服器之間使用 HTTPS,而且您正在使用 Elastic Load Balancing 中的負載平衡器做為原始伺服器,則可以請求或匯入任何憑證 AWS 區域。
憑證格式
憑證必須為 X.509 PEM 格式。如果您使用 AWS Certificate Manager,這是預設格式。
中繼憑證
如果您使用第三方憑證授權機構 (CA),請在列出位於 .pem 檔案的憑證鏈中的所有中繼憑證,從為您網域簽屬憑證的 CA 開始。一般而言,您可以在 CA 網站上找到以適當鏈結順序列出中繼和根憑證的檔案。
重要
不包括下列項目:根憑證、不在信任路徑的中繼憑證,或您 CA 的公有金鑰憑證。
範例如下:
-----BEGIN CERTIFICATE-----Intermediate certificate 2-----END CERTIFICATE----- -----BEGIN CERTIFICATE-----Intermediate certificate 1-----END CERTIFICATE-----
Key type
CloudFront 支援 RSA 和公有/私有金鑰對。
CloudFront 支援使用 RSA 和 ECDSA 憑證與檢視器和原始伺服器進行 HTTPS 連線。使用 AWS Certificate Manager (ACM)
如需可在 HTTPS 連線中交涉之 CloudFront 所支援的 RSA 和 ECDSA 密碼清單,請參閱檢視器和 CloudFront 之間支援的通訊協定和密碼和CloudFront 和原始伺服器之間支援的通訊協定和密碼。
私有金鑰
如果您從第三方憑證授權單位 (CA) 使用憑證,請注意以下事項:
-
私有金鑰必須符合憑證中的公有金鑰。
-
私有金鑰必須是 PEM 格式。
-
無法用密碼加密私有金鑰。
如果 AWS Certificate Manager (ACM) 提供憑證,ACM 不會釋出私有金鑰。私有金鑰存放在 ACM 中,供與 ACM 整合的 AWS 服務使用。
許可
您必須具有使用和匯入 SSL/TLS 憑證的許可。如果您使用的是 AWS Certificate Manager (ACM),我們建議您使用 AWS Identity and Access Management 許可來限制對憑證的存取。如需詳細資訊,請參閱 AWS Certificate Manager 使用者指南中的 Identity and Access Management。
憑證金鑰的大小
CloudFront 支援的憑證金鑰大小取決於金鑰和憑證的類型。
- 對於 RSA 憑證:
-
CloudFront 支援 1024 位元、2048 位元、3072 位元和 4096 位元 RSA 金鑰。與 CloudFront 搭配使用的 RSA 憑證,其金鑰長度上限為 4096 位元。
請注意,ACM 會發出最多 2048 位元金鑰的 RSA 憑證。若要使用 3072 位元或 4096 位元的 RSA 憑證,您需要從外部取得憑證並將其匯入 ACM,之後即可和 CloudFront 搭配使用。
如需有關如何判斷 RSA 金鑰大小的詳細資訊,請參閱決定 SSL/TLS RSA 憑證中公有金鑰的大小。
- 對於 ECDSA 憑證:
-
CloudFront 支援 256 位元金鑰。若要在 ACM 中使用 ECDSA 憑證,以便在檢視器和 CloudFront 之間請求使用 HTTPS,請使用 prime256v1 橢圓曲線。
支援的憑證類型
CloudFront 支援由受信任憑證授權單位發行的所有憑證類型。
憑證過期日期和續約
如果您使用從第三方憑證授權機構 (CA) 取得的憑證,則必須監控憑證過期日期,並在憑證過期之前續約您匯入 AWS Certificate Manager (ACM) 或上傳至 AWS Identity and Access Management 憑證存放區的憑證。
重要
為避免憑證過期問題,請在目前憑證NotAfter的值前至少 24 小時續約或重新匯入憑證。如果您的憑證在 24 小時內過期,請向 ACM 請求新的憑證,或將新的憑證匯入 ACM。接著,將新憑證與 CloudFront 分佈建立關聯。
當您的憑證續約或重新匯入正在進行時,CloudFront 可能會繼續使用先前的憑證。這是一個非同步程序,最多可能需要 24 小時的時間CloudFront 才會顯示您的變更。
如果您使用的是 ACM 提供的憑證,ACM 會為您管理憑證續約。如需詳細資訊,請參閱 AWS Certificate Manager 使用者指南中的受管續約。
CloudFront 分佈和憑證中的網域名稱
當您使用自訂原始伺服器時,原始伺服器上的 SSL/TLS 憑證包含 Common Name (通用名稱) 欄位中的網域名稱,且在 Subject Alternative Names (主體別名) 欄位中可能還有更多網域名稱。(CloudFront 在憑證網域名稱中支援萬用字元)。
憑證中其中一個網域名稱必須符合您指定給原始網域名稱的網域名稱。如果沒有相符的網域名稱,CloudFront 會將 HTTP 狀態碼 502 (Bad Gateway) 傳回到檢視器。
重要
如果將替代網域名稱新增到分佈,CloudFront 會檢查替代網域名稱是否涵蓋在您所連線的憑證範圍內。憑證必須涵蓋憑證主體別名 (SAN) 欄位中的備用網域名稱。這表示 SAN 欄位必須包含完全相符的替代網域名稱,或在您要新增之替代網域名稱的相同層級包含萬用字元。
如需詳細資訊,請參閱 使用備用網域名稱的需求。
最低 SSL/TLS 通訊協定版本
如果使用專用 IP 地址,請透過選擇安全政策來設定檢視器與 CloudFront 之間連線的最低 SSL/TLS 通訊協定版本。
如需詳細資訊,請參閱 分佈設定參考 主題中的 安全政策 (最低 SSL/TLS 版本)。
支援的 HTTP 版本
如果您把一個憑證與多個 CloudFront 分發相關聯,則所有與憑證關聯的分發必須使用相同 支援的 HTTP 版本 的選項。您在建立或更新 CloudFront 分佈時請指定此選項。
