如何配置我的 CloudFront 分配以使用 SSL/TLS 证书?

上次更新时间:2019 年 12 月 31 日

我想要配置我的 Amazon CloudFront 分配以使用 SSL/TLS 证书。

解决方法

CloudFront 分配默认域名给您的分配,例如 d111111abcdef8.cloudfront.net。如果您使用此域名,则您可以使用已为您的分配选择的 CloudFront 默认 SSL/TLS 证书。如果您为您的分配使用另一个域名,则最好的做法是执行以下各项之一,以避免与域名相关的证书警告:

注意:CloudFront Adobe 实时消息收发协议 (RTMP) 分配无法使用 SSL/TLS 证书。

如果您使用 Amazon 颁发的证书:

  • 您必须在美国东部(弗吉尼亚北部)区域请求证书。
  • 您必须拥有使用和请求 ACM 证书的权限。

如果您将导入的证书与 CloudFront 配合使用:

注意:如果您缺少权限,CloudFront 控制台将在自定义 SSL 证书设置中显示缺少权限 acm:ListCertificates。如果您在美国东部(弗吉尼亚北部)区域没有证书,或者如果您的密钥大小超过 2048 位,则自定义 SSL 证书的设置会显示为灰色。

有关更多信息,请参阅将 SSL/TLS 证书与 CloudFront 配合使用的要求

然后,配置您的 CloudFront 分配以使用新证书,并要求在查看者与 CloudFront 之间使用 HTTPS。有关更多信息,请参阅 查看和更新 CloudFront 分配

保存对 CloudFront 分配配置的更改后,CloudFront 会将更改传播到所有边缘站点。当传播完成时,CloudFront 控制台中的 CloudFront 分配状态从进行中变为已部署

如果您需要在 CloudFront 与您的自定义源之间使用 HTTPS 进行通信,您还可以在自定义源上使用 SSL/TLS 证书。

要更新 CloudFront 分配的设置,请参阅更新您的 CloudFront 分配