CloudFront - Как поставить ELB с HTTPS в качестве пользовательского источника, когда DNS отличается

Question

У меня есть облачный фронт с пользовательским доменом, скажем, www.x.com, который указан в альтернативном доменном имени в дистрибутиве.

Источник, который я хотел переслать, - это ELB с HTTPS.слушатель с сертификатом www.x.com.

Домен происхождения - это имя ELB dns (xxxx.ap-east-1.elb.amazonaws.com) - я не могу поместить туда другой поддомен для некоторыхдругая причина.

Я следовал предложению, что на странице поведения мы можем переслать заголовок заголовка (Host), чтобы он мог аутентифицировать сертификат.Однако у меня продолжает возникать проблема, которую Cloudfront сообщает, что не может связаться с источником.

Есть ли способ решить эту проблему, кроме использования субдомена для указания на этот ELB?Разве переадресация заголовка Host / Origin недостаточна?

Answer 1

Итак, наконец-то разобрался с ответом.

Хост белого списка правильно перенаправит заголовок к источнику (ELB).Однако elb, созданный Beanstalk по умолчанию, использует политику ELBSample-ELBDefaultNegotiationPolicy для HTTPS.Таким образом, он будет использовать протокол TlSv1 и не будет работать, если ваши исходные настройки используют TLSv1.1 или выше.

Чтобы установить это правильно, убедитесь, что вы установили правильную настройку пространства имен изasticbeanstalk

    {
      namespace = "aws:elb:policies:sslpolicy"
      name      = "SSLReferencePolicy"
      val       = "ELBSecurityPolicy-TLS-1-2-2017-01"
    },
    {
      namespace = "aws:elb:policies:sslpolicy"
      name      = "LoadBalancerPorts"
      val       = "443"
    }

Таким образом, вы можете настроить, какой протокол вы хотите использовать для своего HTTPS-порта.

Не забудьте также задать настройки исходного домена из облачного фронта для соответствия эталонной версии.