Cloudfront, обслуживающий собственный SSL-сертификат - PullRequest
35 голосов
/ 02 марта 2011

Кто-нибудь знает, возможно ли использовать Cloudfront через https с собственным сертификатом при использовании собственного CNAME?я даже не могу найти способ настроить свой собственный сертификат SSL на S3 ... поэтому я не уверен, возможно ли это вообще.

ОБНОВЛЕНИЕ: , если кто-то заинтересован вобновление об этой проблеме - maxcdn.com предлагает разместить сертификат SSL в своем домене всего за 59 долларов США в месяц.

это не Amazon, но он даже поддерживает извлечение с вашего сервера и хостинга навсегда или если вы отправляетеЗаголовок элемента управления кэшированием на любое указанное вами время, пока он снова не получит исходный URL.

все предложение довольно аккуратное.: D

Ответы [ 5 ]

28 голосов
/ 17 марта 2011

Я подробно изучил это, и нет, в настоящее время невозможно использовать HTTPS с CNAME, если вы не можете игнорировать несоответствия имен сертификатов на стороне клиента.HTTPS работает с «простыми» именами сегментов, но CNAME работают только с именами сегментов, которые являются полностью определенными доменами.

AWS всегда добавляет новые функции, поэтому я вижу, что они могутобслуживать пользовательские сертификаты в какой-то момент, но пока это не поддерживается.

См .: http://stackoverflow.com/questions/3048236/amazon-s3-https-ssl-is-it-possible

edit: прямой доступ к S3 пока невозможен, но онвозможно через CloudFront: http://aws.amazon.com/cloudfront/custom-ssl-domains/

27 голосов
/ 18 августа 2011

ПОЖАЛУЙСТА, ОБРАТИТЕ ВНИМАНИЕ, РЕДАКТИРОВАНИЕ И ОБНОВЛЕНИЯ НИЖЕ Я воскрешаю это, потому что Amazon проводит опрос (на момент написания этой статьи), который запрашивает у клиентов обратную связь для их дорожной карты продукта.

См. Доступный пост в этом опросе: https://forums.aws.amazon.com/thread.jspa?threadID=26488&tstart=30

и прямую ссылку на опрос: http://aws.qualtrics.com/SE/?SID=SV_9yvAN5PK8abJIFK

РЕДАКТИРОВАТЬ: заметил сообщение от июня11, 2012, когда AWS обновил ссылку на опрос:

См. Сообщение об этом опросе: https://forums.aws.amazon.com/thread.jspa?messageID=363869

Новая ссылка на опрос: http://aws.qualtrics.com/SE/?SID=SV_e4eM1cRblPaccFS

Я думаю, что стоит уделить им время, чтобы сделать CNAME + SSL поддерживаемой функцией.

РЕДАКТИРОВАТЬ: объявлено в июне11, 2013, пользовательские SSL-сертификаты с выделенными IP-адресами теперь поддерживаются с CloudFront на AWS:

См. Объявление о функции в блоге AWS: http://aws.typepad.com/aws/2013/06/custom-ssl-domain-names-root-domain-hosting-for-amazon-cloudfront.html

Один вопрос, прежде чем рассчитывать на прохождение этого маршрута, вы должны увидеть значительную ценность от Deviaс маршрутом https://[distribution].cloudfront.net, поскольку стоимость размещения пользовательских сертификатов SSL составляет 600 долларов США в месяц.

РЕДАКТИРОВАТЬ: объявлено 5 марта 2014 г., пользовательских сертификатов SSL с использованием сервераИндикация имени (SNI) теперь поддерживается с CloudFront на AWS - БЕЗ ДОПОЛНИТЕЛЬНОЙ ЗАРЯДКИ:

Как отмечалось ниже в викихене, AWS теперь поддерживает пользовательские сертификаты SSL через SNI.Это ОГРОМНО, поскольку открывает возможность использовать существующую инфраструктуру AWS (IP-адреса).Таким образом, AWS не взимает дополнительную плату за эту услугу!Чтобы узнать больше, прочитайте об этом в блоге AWS: http://aws.typepad.com/aws/2014/03/server-name-indication-sni-and-http-redirection-for-amazon-cloudfront.html

Однако следует отметить, что индикация имени сервера (SNI) имеет некоторые недостатки, которые следует учитывать, прежде чем полностью полагаться на нее.В частности это не поддерживается некоторыми старыми браузерами.Если вы хотите лучше понять это, см .: Действительно ли SNI используется и поддерживается в браузерах?

РЕДАКТИРОВАТЬ: AWS, объявленный 21 января 2016 года, предоставляет БЕСПЛАТНЫЕ пользовательские сертификаты SSL!

Чтобы прочитать о полном объявлении на сайте AWS: https://aws.amazon.com/blogs/aws/new-aws-certificate-manager-deploy-ssltls-based-apps-on-aws/

Amazon анонсировала новый сервис под названием AWS Certificate Manager, предлагающий бесплатные сертификаты SSL / TLS для ресурсов AWS..

Эти сертификаты обычно приобретаются у сторонних поставщиков сертификатов, таких как Symantec, Comodo и RapidSSL, и могут стоить от 50 до сотен долларов в зависимости от уровня выполненной проверки личности.

Процесс получения нового сертификата всегда был немного запутанным, требуя генерации запроса на подпись сертификата на защищаемом сервере, отправки этого запроса поставщику сертификата, а затем установки сертификата после его получения.Поскольку Amazon управляет всем процессом, все это исчезает, и сертификаты можно быстро выдавать и предоставлять на ресурсы AWS автоматически.

Есть несколько ограничений для сертификатов.Amazon предоставляет только проверенные доменные сертификаты - простая проверка, при которой проверка домена осуществляется по электронной почте.Если вы хотите сертификат расширенной проверки, вы можете придерживаться их текущих поставщиков сертификатов.Кроме того, сертификаты нельзя использовать для подписи кода или шифрования электронной почты.

8 голосов
/ 12 июня 2013

Начиная с сегодняшнего дня, вы можете использовать свой собственный SSL-сертификат с AWS CloudFront http://aws.typepad.com/aws/2013/06/custom-ssl-domain-names-root-domain-hosting-for-amazon-cloudfront.html

но

  1. AWS должен одобрить ваш запрос
  2. Вы платите 600 долларов в месяц (!) За каждый сертификат SSL, связанный с одним или несколькими дистрибутивами CloudFront.
1 голос
/ 01 апреля 2014

Теперь можно использовать собственный SSL-сертификат для Cloudfront с без дополнительных затрат .Таким образом, плата в размере 600 $ / м ушла.

Из новостной рассылки AWS:

Теперь вы можете использовать свои собственные сертификаты SSL с Amazon CloudFront без дополнительной оплаты с помощью индикации имени сервера (SNI)) Пользовательский SSL.SNI поддерживается большинством современных браузеров и обеспечивает эффективный способ доставки контента по HTTPS с использованием собственного домена и SSL-сертификата.Вы можете использовать эту функцию без дополнительной платы за управление сертификатами;вы просто платите обычные тарифы Amazon CloudFront за передачу данных и HTTPS-запросы.

1 голос
/ 11 марта 2014

Просто хочу обновить этот вопрос последними новостями AWS.Теперь вы можете использовать HTTPS с CNAMEs в CloudFront, поскольку теперь он поддерживает настраиваемые сертификаты SSL с помощью индикации имени сервера (SNI).

http://aws.typepad.com/aws/2014/03/server-name-indication-sni-and-http-redirection-for-amazon-cloudfront.html

Управляется для установки бесплатного сертификата StartSSL класса 1 дляМой распределенный статический сайт CloudFront на S3 без особых проблем (см .: Ошибка CloudFront при обслуживании по HTTPS с использованием SNI ).

...