Сертификат Cloudfront и имя хоста: могут ли они быть разными?

Question

У меня есть сертификат в IAM, зарегистрированный на имя хоста azb.hostname.com. Затем у меня есть 2 дистрибутива облачного фронта, с автоматическими именами хостов, что-то вроде d727.cloudfront.net и d838.cloudfront.net.

По умолчанию сертификат, предоставленный cloudfront, не поддерживает TLSv1.1 +, поэтому я должен назначить собственный сертификат. Я попытался использовать свой сертификат на одном из них и ... он работает!

Что я не могу понять, так это то, почему облачный фронт все еще доступен на его имени хоста по умолчанию * .cloudfront.net: не должен ли он стать azb.hostname.com? И могу ли я назначить один и тот же сертификат им обоим? Будут ли они продолжать работать?

Answer 1

CloudFront будет доступен с * .cloudfront.net, даже если вы добавили свой собственный сертификат и добавили свой домен в поле Альтернативный домен, это ожидается. если вы этого не хотите, вам, вероятно, нужно добавить WAF для чтения заголовка HOST, а если это d1234xxx.cloudfront.net, заблокируйте его.

Вы можете использовать IAM / Cert с несколькими дистрибутивами, это не вызовет никаких проблем.

Кроме того, доступ к d123.cloudfront.net поддерживает tls1.1 и tls1.2, и я думаю, что недавно вы также можете ограничить версию tls.