HTTPS を使用してカスタムオリジンに接続するように Amazon CloudFront ディストリビューションを設定しました。HTTP ステータスコード 502 (Bad Gateway) の「CloudFront could not connect to Origin」エラーが返るのはなぜですか?

CloudFront ディストリビューションのオリジンドメイン名が証明書のドメイン名と一致していることを確認する

CloudFront ディストリビューションで指定したオリジンドメイン名が、SSL/TLS 証明書のドメイン名と一致していることを確認します。ディストリビューションのオリジンドメイン名は、証明書の共通名として指定されたドメイン名、または証明書のサブジェクト代替名で指定されたドメイン名と一致します。

オリジンドメイン名が、証明書に関連付けられているドメイン名と一致しない場合は、CloudFront より HTTP ステータスコード 502 (Bad Gateway) が返ります。

中間認証局に不足がないか確認する

オリジンの証明書チェーンが有効であり、中間認証局が不要かどうかをテストするには、SSL チェックツールを使用します。

Elastic Load Balancing ロードバランサーをカスタムオリジンとして使用しており、証明書チェーンを更新する必要がある場合は、適切な証明書チェーンで証明書を再度アップロードできます。

オリジンのサポートされるプロトコルポリシーと暗号をテストする

SSL ハンドシェイクが成功するために、CloudFront で使用される暗号がオリジンでサポートされている必要があります。

オリジンプロトコルポリシーで SSLv3 が有効になっている場合、CloudFront ではオリジンへの通信に SSLv3 のみを使用します。CloudFront で使用される暗号がオリジンでサポートされているかどうかをテストするには、SSLv3 を使用して OpenSSL コマンドを実行します。

echo | openssl s_client -ssl3 -cipher 'ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES256-SHA384 AES256-SHA AES128-SHA DES-CBC3-SHA RC4-MD5 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES256-SHA384 ECDHE-ECDSA-AES256-SHA ECDHE-ECDSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES128-SHA256 ECDHE-ECDSA-AES128-SHA' -connect your.origin.domain:443

オリジンで TLS が使用されている場合は、次のコマンドを使用して、プロトコルごとにオリジンをテストします。

TLS 1.0 の場合は、以下を実行します。 

echo | openssl s_client -tls1 -cipher 'ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES256-SHA384 AES256-SHA AES128-SHA DES-CBC3-SHA RC4-MD5 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES256-SHA384 ECDHE-ECDSA-AES256-SHA ECDHE-ECDSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES128-SHA256 ECDHE-ECDSA-AES128-SHA' -connect your.origin.domain:443

TLS 1.1 の場合は、以下を実行します。 

echo | openssl s_client -tls1_1 -cipher 'ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES256-SHA384 AES256-SHA AES128-SHA DES-CBC3-SHA RC4-MD5 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES256-SHA384 ECDHE-ECDSA-AES256-SHA ECDHE-ECDSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES128-SHA256 ECDHE-ECDSA-AES128-SHA' -connect your.origin.domain:443

TLS 1.2 の場合は、以下を実行します。 

echo | openssl s_client -tls1_2 -cipher 'ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES256-SHA384 AES256-SHA AES128-SHA DES-CBC3-SHA RC4-MD5 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES256-SHA384 ECDHE-ECDSA-AES256-SHA ECDHE-ECDSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES128-SHA256 ECDHE-ECDSA-AES128-SHA' -connect your.origin.domain:443

このページは役に立ちましたか? はい | いいえ

AWS サポート ナレッジ センターに戻る

サポートが必要ですか? AWS サポートセンターをご覧ください。

公開日: 2015 年 12 月 31 日

更新日: 2018 年 10 月 30 日