ssl - Cloudfront服务于自己的SSL证书

Cloudfront服务于自己的SSL证书

时间：2011-03-02 07:25:14

标签： ssl https amazon-web-services amazon-s3 amazon-cloudfront

是否有人知道在使用您自己的CNAME时是否可以使用您自己的证书通过https服务于cloudfront？我甚至找不到通过S3设置自己的SSL证书的方法......所以我不确定这是否可行。

更新：如果有人对此问题的更新感兴趣 - maxcdn.com提供在您的域名托管您的SSL证书，每月只需支付59美元的固定费用。

它不是亚马逊，但它甚至支持从您的服务器和永久托管中提取，或者如果您在指定的任何时间发送缓存控制标头，直到它再次获取原始URL。

整个报价非常整洁。：d

5 个答案:

答案 0 :(得分：28)

我对此进行了广泛的调查，不，目前不可能将HTTPS与CNAME一起使用，除非您能够忽略客户端上的证书名称不匹配。 HTTPS使用“简单”存储桶名称，但CNAME仅适用于完全限定域的存储桶名称。

~~AWS始终在添加新功能，因此我可以看到他们可以在某个时刻提供自定义证书，但目前还没有支持。~~

<德尔> 请参阅：http：//stackoverflow.com/questions/3048236/amazon-s3-https-ssl-is-it-possible

编辑：仍无法直接访问S3，但可以通过CloudFront：http://aws.amazon.com/cloudfront/custom-ssl-domains/

答案 1 :(得分：27)

请注意编辑和编辑以下更新 ~~我正在复活，因为亚马逊正在进行一项调查（截至撰写本文时），该调查要求客户反馈他们的产品路线图。~~

~~请参阅此调查的帖子： https://forums.aws.amazon.com/thread.jspa?threadID=26488&tstart=30~~

~~和直接调查链接： http://aws.qualtrics.com/SE/?SID=SV_9yvAN5PK8abJIFK~~

~~编辑：注意到2012年6月11日AWS已更新调查链接的帖子：~~

~~查看此调查的帖子： https://forums.aws.amazon.com/thread.jspa?messageID=363869~~

~~新调查链接： http://aws.qualtrics.com/SE/?SID=SV_e4eM1cRblPaccFS~~

~~我认为值得花时间向他们提供有关使CNAME + SSL成为支持功能的反馈。~~

编辑：2013年6月11日宣布，Google上的CloudFront现在支持带有专用IP的自定义SSL证书：

请参阅AWS博客上的功能公告：http://aws.typepad.com/aws/2013/06/custom-ssl-domain-names-root-domain-hosting-for-amazon-cloudfront.html

在计算这条路线之前需要考虑的一个问题是，您需要看到偏离https://[distribution].cloudfront.net路线的重要价值，因为托管自定义SSL证书的定价为每月600美元。

编辑：2014年3月5日宣布，现在，AWS上的CloudFront支持使用服务器名称指示（SNI）的自定义SSL证书 - 无附加费用 < / p>

正如wikichen在下面提到的，AWS现在通过SNI支持自定义SSL Certs。这是巨大的，因为它开启了利用AWS现有基础设施（IP地址）的可能性。因此，AWS不会对此服务收取额外费用！要了解更多信息，请在AWS博客文章中阅读：http://aws.typepad.com/aws/2014/03/server-name-indication-sni-and-http-redirection-for-amazon-cloudfront.html

应该注意的一个项目，服务器名称指示（SNI）确实有一些缺点，在完全依赖它之前应该考虑它们。特别是一些旧版浏览器不支持它。如果想要更好地理解这一点，请参阅：Is SNI actually used and supported in browsers?

编辑：AWS于2016年1月21日宣布，他们免费提供自定义SSL证书！

阅读AWS网站上的完整公告：https://aws.amazon.com/blogs/aws/new-aws-certificate-manager-deploy-ssltls-based-apps-on-aws/

亚马逊宣布推出名为AWS Certificate Manager的新服务，为AWS资源提供免费的SSL / TLS证书。

这些证书通常从Symantec，Comodo和RapidSSL等第三方证书提供商处购买，价格可能在50美元到数百美元之间，具体取决于所执行的身份验证级别。

获取新证书的过程总是有点混乱，需要在受保护的服务器上生成证书签名请求，将该请求发送给证书提供者，然后在收到证书后安装证书。由于亚马逊正在管理整个流程，所有这些都消失了，可以自动在AWS资源上快速发布和配置证书。

证书有一些限制。亚马逊仅提供经过域验证的证书，这是一种通过电子邮件进行域验证的简单验证。如果您需要扩展验证证书，您可以坚持使用其当前的证书提供商。此外，证书不能用于代码签名或电子邮件加密。

答案 2 :(得分：8)

从今天开始，您可以将自己的SSL证书与AWS CloudFront http://aws.typepad.com/aws/2013/06/custom-ssl-domain-names-root-domain-hosting-for-amazon-cloudfront.html

一起使用

但

~~AWS必须批准您的请求~~

~~您为每个与一个或多个CloudFront分配相关联的SSL证书每月支付600美元（！）。~~

答案 3 :(得分：1)

只想使用最新的AWS新闻更新此问题。您现在可以在CloudFront上使用带有CNAME的HTTPS，因为它现在支持使用服务器名称指示（SNI）的自定义SSL证书。

http://aws.typepad.com/aws/2014/03/server-name-indication-sni-and-http-redirection-for-amazon-cloudfront.html

管理在S3上为我的CloudFront分布式静态站点设置免费的Class 1 StartSSL证书，没有太多麻烦（参见：CloudFront error when serving over HTTPS using SNI）。

答案 4 :(得分：1)

现在可以使用您自己的Cloudfront SSL证书，无需额外费用。因此600美元/米的费用已经消失。

来自AWS简报：

您现在可以使用自己的SSL证书与Amazon CloudFront一起使用服务器名称指示（SNI）自定义SSL，无需额外费用。大多数现代浏览器都支持SNI，并提供了一种使用您自己的域和SSL证书通过HTTPS传送内容的有效方法。您可以免费使用此功能进行证书管理;您只需为数据传输和HTTPS请求支付正常的Amazon CloudFront费率。