Собственные сертификаты SSL в Amazon CloudFront

Преимущества Amazon CloudFront

Помимо безопасной доставки контента по протоколу HTTPS из всех своих периферийных местоположений, Amazon CloudFront предоставляет клиентам три дополнительные возможности ускорения работы веб-сайта в целом. Кроме безопасной доставки с края, можно также настроить CDN для вызова источника с помощью подключений по протоколу HTTPS, чтобы обеспечить полное шифрование данных при их передаче от источника к конечным пользователям.

По умолчанию доставка контента конечным пользователям по HTTPS происходит с использованием в URL‑адресах доменного имени базы раздачи CloudFront, например https://dxxxxx.cloudfront.net/image.jpg. Для доставки контента по HTTPS с использованием собственного доменного имени и собственного сертификата SSL можно применить одну из функций поддержки собственных сертификатов SSL.

Возможности использования собственных сертификатов SSL в Amazon CloudFront

Собственные сертификаты SSL с SNI

Собственные сертификаты SSL с Server Name Indication (SNI) работают за счет SNI-расширения протокола TLS (безопасность транспортного уровня), которое позволяет множеству доменов передавать SSL-трафик через один IP-адрес. Amazon CloudFront осуществляет доставку контента из каждого периферийного местоположения, обеспечивая такой же уровень безопасности, как и собственные сертификаты SSL с выделенными IP-адресами (см. ниже).

При использовании собственных сертификатов SSL с SNI контент может оказаться недоступным для некоторых пользователей, поскольку некоторые устаревшие браузеры не поддерживают технологию SNI и не смогут установить подключение с CloudFront для загрузки контента в версии HTTPS. Подробнее об SNI, в том числе список поддерживаемых браузеров, см. на странице вопросов и ответов.

Отдельные цены на использование этой возможности не указаны. Вы можете использовать собственные сертификаты SSL с SNI без авансовых или ежемесячных платежей за управление сертификатами. При этом вы платите по обычным тарифам Amazon CloudFront за передачу данных и запросы HTTPS.

Установка не представляет никаких сложностей. Следуйте инструкциям, описанным в руководстве для разработчиков CloudFront, чтобы обеспечить быструю и безопасную передачу контента.

Собственные сертификаты SSL с выделенными IP-адресами

Если необходимо доставить контент браузерам, которые не поддерживают SNI, можно использовать собственные сертификаты SSL с выделенными IP-адресами. Для обеспечения этой возможности сеть доставки контента Amazon назначает выделенные IP-адреса для передачи SSL-контента в каждом периферийном местоположении.

Чтобы воспользоваться поддержкой собственных сертификатов SSL с выделенными IP‑адресами, загрузите сертификат SSL и с помощью Консоли управления AWS свяжите его с базами раздачи CloudFront. Если с аккаунтом AWS требуется связать более двух собственных сертификатов SSL, опишите свой пример использования сервиса с указанием требуемого количества собственных сертификатов SSL в форме запроса на увеличение лимитов CloudFront.

Рассчитать размер оплаты за использование собственных сертификатов SSL с выделенными IP-адресами очень просто. В связи с дополнительными затратами на выделение IP-адресов для таких сертификатов SSL взимается фиксированная ежемесячная плата в размере 600 USD за каждый собственный сертификат SSL, связываемый с базами раздачи сети доставки контента. Эта плата пропорционально распределяется по количеству часов. Например, если собственный сертификат SSL связан хотя бы с одной базой раздачи CloudFront всего на 24 часа (т. е. 1 сутки) в июне, суммарная стоимость использования сертификата SSL в июне составит (1 день / 30 дней) * 600 USD = 20 USD. Подробнее о стоимости использования собственных сертификатов SSL см. на странице цен CloudFront.

Подробнее о функциях собственных сертификатов SSL см. в руководстве для разработчиков CloudFront.