J'ai configuré ma distribution Amazon CloudFront pour établir une connexion à une origine personnalisée via le protocole HTTPS. Pourquoi est-ce que je reçois l'erreur « CloudFront could not connect to Origin » avec le code d'état HTTP 502 (passerelle erronée) ?

Vérifiez que le nom de domaine d'origine de la distribution CloudFront correspond au nom de domaine du certificat

Vérifiez que le nom de domaine d'origine spécifié sur la distribution CloudFront correspond à un nom de domaine sur votre certificat SSL/TLS. Le nom de domaine d'origine de la distribution peut correspondre au nom de domaine spécifié dans le champ Common Name ou à un des noms de domaine spécifiés dans le champ Subject Alternative Names du certificat.

Si le nom de domaine d'origine ne correspond à aucun nom de domaine associé à votre certificat, CloudFront renvoie le code d'état HTTP 502 (passerelle erronée).

Vérifiez s'il manque des autorités de certification intermédiaires

Utilisez un outil de vérification SSL pour tester si votre chaîne de certificats est disponible et ne nécessite pas d'autorités de certification intermédiaires.

Si vous utilisez un équilibreur de charge Elastic Load Balancing en tant qu'origine personnalisée et que vous devez mettre à jour la chaîne de certificats, vous pouvez charger à nouveau le certificat avec la chaînes de certificats correcte.

Testez la stratégie de protocoles et les chiffrements pris en charge de votre origine

Pour que la liaison SSL aboutisse, votre origine doit prendre en charge les chiffrements utilisés par CloudFront.

Si SSLv3 est activé pour votre stratégie de protocole d'origine, CloudFront utilise uniquement SSLv3 pour communiquer avec votre origine. Pour tester si votre origine prend en charge les chiffrements utilisés par CloudFront, exécutez cette commande OpenSSL en utilisant SSLv3 :

echo | openssl s_client -ssl3 -cipher 'ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES256-SHA384 AES256-SHA AES128-SHA DES-CBC3-SHA RC4-MD5 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES256-SHA384 ECDHE-ECDSA-AES256-SHA ECDHE-ECDSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES128-SHA256 ECDHE-ECDSA-AES128-SHA' -connect your.origin.domain:443

Si votre origine utilise TLS, testez votre origine pour chaque protocole par l'intermédiaire de ces commandes :

Pour TLS 1.0, exécutez : 

echo | openssl s_client -tls1 -cipher 'ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES256-SHA384 AES256-SHA AES128-SHA DES-CBC3-SHA RC4-MD5 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES256-SHA384 ECDHE-ECDSA-AES256-SHA ECDHE-ECDSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES128-SHA256 ECDHE-ECDSA-AES128-SHA' -connect your.origin.domain:443

Pour TLS 1.1, exécutez : 

echo | openssl s_client -tls1_1 -cipher 'ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES256-SHA384 AES256-SHA AES128-SHA DES-CBC3-SHA RC4-MD5 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES256-SHA384 ECDHE-ECDSA-AES256-SHA ECDHE-ECDSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES128-SHA256 ECDHE-ECDSA-AES128-SHA' -connect your.origin.domain:443

Pour TLS 1.2, exécutez : 

echo | openssl s_client -tls1_2 -cipher 'ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES256-SHA384 AES256-SHA AES128-SHA DES-CBC3-SHA RC4-MD5 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES256-SHA384 ECDHE-ECDSA-AES256-SHA ECDHE-ECDSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES128-SHA256 ECDHE-ECDSA-AES128-SHA' -connect your.origin.domain:443

Cette page vous a-t-elle été utile ? Oui | Non

Retour au Centre de connaissances AWS Support

Vous avez besoin d'aide ? Consultez le site du Centre AWS Support

Date de publication : 31/12/2015

Date de mise à jour : 30/10/2018