La connexion HTTP entre ma distribution CloudFront et l'équilibreur de charge fonctionne, mais la connexion HTTPS échoue. Pourquoi ?
Date de la dernière mise à jour : 06/08/2020
J'utilise un Classic Load Balancer ou un équilibreur de charge d'application comme origine pour ma distribution Amazon CloudFront. J'ai configuré les écouteurs HTTP et HTTPS sur mon équilibreur de charge, mais la communication HTTPS entre CloudFront et mon équilibreur de charge échoue. Si je modifie la stratégie du protocole d'origine sur ma distribution vers HTTP uniquement, la connexion fonctionne. Comment résoudre les problèmes de communication HTTPS ?
Solution
L’échec des communications HTTPS peut être dû à des problèmes liés au certificat SSL associé, aux groupes de sécurité ou à la liste de contrôle d'accès (ACL) réseau. Assurez-vous que votre distribution et votre équilibreur de charge répondent aux exigences de sécurité suivantes :
- Vous devez posséder un certificat SSL valide installé sur l'équilibreur de charge. Si vous obtenez toujours des erreurs HTTPS après avoir installé un certificat SSL, résolvez les problèmes de connexion SSL entre CloudFront et le serveur d'origine personnalisé.
- Si votre distribution CloudFront se connecte à votre équilibreur de charge sur le port 443, les groupes de sécurité associés à votre équilibreur de charge doivent autoriser le trafic sur le port 443 à partir des adresses IP de CloudFront. Pour plus d'informations sur la mise à jour des groupes de sécurité, consultez Configurer des groupes de sécurité pour votre Classic Load Balancer ou Groupes de sécurité de votre équilibreur de charge d'application.
- Les listes ACL réseau associées à l'Amazon Virtual Private Cloud (Amazon VPC) de votre équilibreur de charge doivent autoriser le trafic depuis CloudFront sur les ports HTTPS (généralement, le port 443).
Remarque : les équilibreurs de charge d'application prennent en charge plusieurs certificats TLS avec sélection intelligente à l'aide du protocole SNI (Server Name Indication). Si votre distribution CloudFront effectue une mise en cache basée sur l'en-tête de l'hôte, vérifiez que l'équilibreur de charge d'application possède un certificat TLS configuré avec le même nom. Si tel n'est pas le cas, l'équilibreur de charge d'application propose son certificat par défaut, qui peut ne pas correspondre au SNI associé au message ClientHello de CloudFront.
Informations connexes
Cet article vous a-t-il été utile ?
Besoin d'aide pour une question technique ou de facturation ?