選擇 CloudFront 服務HTTPS請求的方式 - Amazon CloudFront
使用 SNI 來處理HTTPS請求 (適用於大多數用戶端)使用專用 IP 地址來處理HTTPS請求 (適用於所有用戶端)請求使用三個或更多專用 IPSSL/TLS憑證的許可

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

選擇 CloudFront 服務HTTPS請求的方式

如果您希望檢視者使用 HTTPS和 來為檔案使用替代網域名稱,請針對 CloudFront 提供HTTPS請求的方式選擇下列其中一個選項:

本節說明每個選項的運作方式。

使用 SNI 來處理HTTPS請求 (適用於大多數用戶端)

Server Name Indication (SNI) 是 2010 年之後發行的瀏覽器和用戶端支援的TLS通訊協定延伸。如果您 CloudFront 將 設定為使用 服務HTTPS請求SNI,則 會將您的替代網域名稱與每個邊緣位置的 IP 地址建立 CloudFront 關聯。當檢視器提交內容的HTTPS請求時, 會將請求DNS路由至正確邊緣位置的 IP 地址。網域名稱的 IP 地址是在 SSL/TLS 交握交涉期間決定;IP 地址不專用於您的分發。

SSL/TLS 交涉會在建立HTTPS連線的早期發生。如果 CloudFront 無法立即判斷請求的網域,則會捨棄連線。當支援為您的內容SNI提交HTTPS請求的檢視器時,會發生以下情況:

  1. 檢視器會自動從請求取得網域名稱,URL並將其新增至TLS用戶端 Hello 訊息的SNI延伸。

  2. 當 CloudFront 收到TLS用戶端 Hello 時,它會使用SNI延伸中的網域名稱來尋找相符的 CloudFront 分佈,並傳回相關聯的TLS憑證。

  3. 檢視器並 CloudFront 執行 SSL/TLS 交涉。

  4. CloudFront 會將請求的內容傳回給檢視器。

如需支援 的瀏覽器的最新清單SNI,請參閱 Wikipedia 項目伺服器名稱指示

如果您想要使用 ,SNI但有些使用者的瀏覽器不支援 SNI,則有幾個選項:

  • CloudFront 設定 以使用專用 IP 地址而非 來提供HTTPS請求SNI。如需詳細資訊,請參閱使用專用 IP 地址來處理HTTPS請求 (適用於所有用戶端)

  • 使用 CloudFront SSL/TLS 憑證而非自訂憑證。這需要您在 URLs 檔案的 中使用 CloudFront 網域名稱進行分發,例如 https://d111111abcdef8.cloudfront.net/logo.png

    如果您使用預設 CloudFront 憑證,檢視器必須支援SSL通訊協定 TLSv1 或更新版本。 CloudFront 不支援SSLv3預設CloudFront 憑證。

    您還必須將 CloudFront 正在使用的 SSL/TLS 憑證從自訂憑證變更為預設 CloudFront 憑證:

    • 如果您尚未使用分佈來分配內容,可以只變更組態。如需詳細資訊,請參閱更新分佈

    • 如果您已使用分發來分發內容,則必須建立新的 CloudFront 分發,並變更檔案URLs的 ,以減少或消除內容無法使用的時間。如需詳細資訊,請參閱從自訂 SSL/TLS 憑證還原為預設 CloudFront 憑證

  • 如果您可以控制使用者使用的瀏覽器,請讓他們將其瀏覽器升級至支援 的瀏覽器SNI。

  • 使用 HTTP而非 HTTPS。

使用專用 IP 地址來處理HTTPS請求 (適用於所有用戶端)

Server Name Indication (SNI) 是將請求與網域建立關聯的一種方式。另一個方式是使用專用 IP 地址。如果您有使用者無法在 2010 年之後升級到瀏覽器或用戶端,您可以使用專用 IP 地址來處理HTTPS請求。如需支援 的瀏覽器的最新清單SNI,請參閱 Wikipedia 項目伺服器名稱指示

重要

如果您 CloudFront 將 設定為使用專用 IP 地址來提供HTTPS請求,則需支付額外的每月費用。當您將 SSL/TLS 憑證與分佈建立關聯並啟用分佈時,就會開始收費。如需 CloudFront 定價的詳細資訊,請參閱 Amazon CloudFront Pricing 。除此之外:請參閱 Using the Same Certificate for Multiple CloudFront Distributions

當您 CloudFront 設定 使用專用 IP 地址來提供HTTPS請求時, CloudFront 會將憑證與每個 CloudFront 邊緣位置的專用 IP 地址建立關聯。當檢視器提交內容的HTTPS請求時,會發生以下情況:

  1. DNS 會將請求路由至適用邊緣位置中分發的 IP 地址。

  2. 如果用戶端請求在ClientHello訊息中提供SNI延伸,則 CloudFront 搜尋與該 相關聯的分佈SNI。

    • 如果有相符項目, CloudFront 會使用 SSL/TLS 憑證回應請求。

    • 如果沒有相符項目, 會改 CloudFront 用 IP 地址來識別您的分佈,並決定要傳回給檢視器的 SSL/TLS 憑證。

  3. 檢視器和 CloudFront 執行SSL/TLS negotiation using your SSL/TLS憑證。

  4. CloudFront 會將請求的內容傳回給檢視器。

此方法適用於每個HTTPS請求,無論使用者使用的瀏覽器或其他檢視器為何。

注意

專用IPs不是靜態的IPs,並且可能會隨著時間而變更。為邊緣位置傳回的 IP 地址是從CloudFront 邊緣伺服器清單 的 IP 地址範圍動態配置。

CloudFront 邊緣伺服器的 IP 地址範圍可能會變更。若要收到 IP 地址變更的通知,請透過 Amazon 訂閱 AWS 公有 IP 地址變更SNS

請求使用三個或更多專用 IPSSL/TLS憑證的許可

如果您需要將三個或更多 SSL/TLS 專用 IP 憑證與 永久關聯的權限 CloudFront,請執行下列程序。如需HTTPS請求的詳細資訊,請參閱 選擇 CloudFront 服務HTTPS請求的方式

注意

此程序用於在您的 CloudFront 分佈中使用三個或更多專用 IP 憑證。預設值為 2。請記住,您無法將多個SSL憑證繫結至分佈。

您一次只能將單一 SSL/TLS 憑證與 CloudFront 分佈建立關聯。此數字是可用於所有 CloudFront 分發的專用 IP SSL憑證總數。

請求許可,以將三個或更多憑證與 CloudFront分佈搭配使用

  1. 請前往支援中心並建立案例。

  2. 請指出您需要許可才能使用的憑證有多少,以及說明請求中的情況。我們會儘快更新您的帳戶。

  3. 請繼續下一個程序。