Anfordern von Zertifikaten für Ihren CloudFront-Distributionsmandanten - Amazon CloudFront
Hinzufügen einer Domain und eines Zertifikats (Distributionsmandant)Abschließen der DomaineinrichtungVerweis von Domains auf CloudFrontÜberlegungen zur Domain (Distributionsmandant)Platzhalter-Domains (Distributionsmandant)

Anfordern von Zertifikaten für Ihren CloudFront-Distributionsmandanten

Wenn Sie einen Distributionsmandanten erstellen, übernimmt der Mandant das gemeinsame AWS Certificate Manager (ACM)-Zertifikat von der Multi-Tenant-Distribution. Dieses gemeinsame Zertifikat stellt HTTPS für alle Mandanten bereit, die der Multi-Tenant-Distribution zugeordnet sind.

Wenn Sie einen CloudFront-Distributionsmandanten erstellen oder aktualisieren, um Domains hinzuzufügen, können Sie ein verwaltetes CloudFront-Zertifikat von ACM hinzufügen. CloudFront erhält dann in Ihrem Namen ein HTTP-validiertes Zertifikat von ACM. Sie können dieses ACM-Zertifikat auf Mandantenebene für benutzerdefinierte Domainkonfigurationen verwenden. CloudFront optimiert den Workflow zur Verlängerung, um Zertifikate auf dem neuesten Stand zu halten und die unterbrechungsfreie Inhaltsbereitstellung zu sichern.

Anmerkung

Sie besitzen das Zertifikat, es kann jedoch nur für CloudFront-Ressourcen verwendet werden und der private Schlüssel kann nicht exportiert werden.

Sie können das Zertifikat anfordern, wenn Sie den Distributionsmandanten erstellen oder aktualisieren.

Hinzufügen einer Domain und eines Zertifikats (Distributionsmandant)

Das folgende Verfahren veranschaulicht, wie Sie eine Domain hinzufügen und das Zertifikat für einen Distributionsmandanten aktualisieren.

So fügen Sie eine Domain und ein Zertifikat hinzu (Distributionsmandant)

  1. Melden Sie sich bei der AWS-Managementkonsole an und öffnen Sie die CloudFront-Konsole unter https://console.aws.amazon.com/cloudfront/v4/home.

  2. Wählen Sie unter SaaS die Option Distributionsmandanten aus.

  3. Suchen Sie nach dem Distributionsmandanten. Verwenden Sie das Dropdown-Menü in der Suchleiste, um nach Domain, Name, Distributions-ID, Zertifikat-ID, Verbindungsgruppen-ID oder Web-ACL-ID zu filtern.

  4. Wählen Sie den Namen des Distributionsmandanten aus.

  5. Wählen Sie für Domains die Option Domain verwalten aus.

  6. Wählen Sie unter Zertifikat aus, ob ein benutzerdefiniertes TLS-Zertifikat für Ihren Distributionsmandanten verwendet werden soll. Das Zertifikat prüft, ob Sie berechtigt sind, den Domainnamen zu verwenden. Das Zertifikat muss in der Region USA Ost (Nord-Virginia) vorhanden sein.

  7. Wählen Sie für Domains die Option Domain hinzufügen aus und geben Sie den Domainnamen ein. Abhängig von Ihrer Domain werden die folgenden Meldungen unter dem eingegebenen Domainnamen angezeigt.

    • Diese Domain ist durch das Zertifikat abgedeckt.

    • Diese Domain ist durch das Zertifikat abgedeckt, Validierung ausstehend.

    • Diese Domain ist nicht durch ein Zertifikat abgedeckt. (Das bedeutet, dass Sie die Inhaberschaft der Domain verifizieren müssen.)

  8. Wählen Sie Distributionsmandant aktualisieren aus.

    Auf der Seite mit den Mandantendetails finden Sie unter Domains die folgenden Felder:

    • Domaininhaberschaft – der Status der Inhaberschaft der Domain. Bevor CloudFront Inhalte bereitstellen kann, muss Ihre Domaininhaberschaft mithilfe der TLS-Zertifikatsvalidierung verifiziert werden.

    • DNS-Status – Die DNS-Datensätze Ihrer Domain müssen auf CloudFront verweisen, um den Datenverkehr korrekt weiterzuleiten.

  9. Wenn Ihre Domaininhaberschaft nicht bestätigt wurde, wählen Sie auf der Seite mit den Mandantendetails unter Domains die Option Domaineinrichtung abschließen aus und führen Sie dann das folgende Verfahren aus, damit der DNS-Datensatz auf Ihren CloudFront-Domainnamen verweist.

Abschließen der Domaineinrichtung

Gehen Sie wie folgt vor, um zu überprüfen, ob Sie Inhaber der Domain für Ihre Distributionsmandanten sind. Wählen Sie je nach Domain eines der folgenden Verfahren aus.

Anmerkung

Wenn Ihre Domain bereits mit einem Aliaseintrag für Amazon Route 53 auf CloudFront verweist, müssen Sie Ihren DNS-TXT-Eintrag mit _cf-challenge. vor dem Domainnamen hinzufügen. Dieser TXT-Eintrag bestätigt, dass Ihr Domainname mit CloudFront verknüpft ist. Wiederholen Sie diesen Schritt für jede Domain. Nachfolgend wird gezeigt, wie Sie Ihren TXT-Eintrag aktualisieren:

  • Eintragsname: _cf-challenge.DomainName

  • Eintragstyp: TXT

  • Eintragswert: CloudFrontRoutingEndpoint

Ihr TXT-Eintrag könnte beispielsweise so aussehen: _cf-challenge.example.com TXT d111111abcdef8.cloudfront.net

Sie finden Ihren CloudFront-Routing-Endpunkt in der Konsole auf der Detailseite des Distributionsmandanten oder mit der API-Aktion ListConnectionGroups in der API-Referenz für Amazon CloudFront.

Tipp

Wenn Sie ein SaaS-Anbieter sind und die Ausstellung von Zertifikaten zulassen möchten, ohne dass Ihre Kunden (Mandanten) einen TXT-Eintrag direkt zu ihrem DNS hinzufügen müssen, gehen Sie wie folgt vor:

  1. Wenn Sie Inhaber der Domain example-saas-provider.com sind, weisen Sie Ihren Mandanten Subdomains zu, z. B. customer-123.example-saas-provider.com.

  2. Fügen Sie in Ihrem DNS den TXT-Eintrag _cf-challenge.customer-123.example-saas-provider.com TXT d111111abcdef8.cloudfront.net zu Ihrer DNS-Konfiguration hinzu.

  3. Als Nächstes können Ihre Kunden (die Mandanten) ihren eigenen DNS-Eintrag aktualisieren, um ihren Domainnamen der von Ihnen angegebenen Subdomain zuzuordnen.

    www.customer-domain.com CNAME customer-123.example-saas-provider.com

I have existing traffic

Wählen Sie diese Option, wenn Ihre Domain keine Ausfallzeiten toleriert. Sie müssen Zugriff auf Ihren Ursprungs-/Webserver haben. Gehen Sie wie folgt vor, um die Domaininhaberschaft zu überprüfen.

So schließen Sie die Einrichtung der Domain bei vorhandenem Datenverkehr ab

  1. Wählen Sie unter Spezifizieren Sie Ihren Web-Datenverkehr die Option Ich habe vorhandenen Datenverkehr und dann Weiter aus.

  2. Wählen Sie für Domain-Inhaberschaft verifizieren eine der folgenden Optionen aus:

    • Vorhandenes Zertifikat verwenden – Suchen Sie nach einem vorhandenen ACM-Zertifikat oder geben Sie den Zertifikat-ARN ein, der die aufgelisteten Domains abdeckt.

    • Manueller Datei-Upload – Wählen Sie aus, ob Sie direkten Zugriff auf das Hochladen von Dateien auf Ihren Webserver haben.

      Erstellen Sie für jede Domain eine Klartextdatei, die Ihr Validierungstoken vom Token-Speicherort enthält, und laden Sie sie an Ihren Ursprung unter dem angegebenen Dateipfad auf Ihrem vorhandenen Server hoch. Der Pfad zu dieser Datei könnte wie folgt aussehen: /.well-known/pki-validation/acm_9c2a7b2ec0524d09fa6013efb73ad123.txt. Nachdem Sie diesen Schritt abgeschlossen haben, verifiziert ACM das Token und stellt dann das TLS-Zertifikat für die Domain aus.

    • HTTP-Weiterleitung – Wählen Sie aus, ob Sie keinen direkten Zugriff zum Hochladen von Dateien auf Ihren Webserver haben oder ob Sie einen CDN- oder Proxydienst verwenden.

      Erstellen Sie für jede Domain eine 301-Weiterleitung auf Ihrem vorhandenen Server. Kopieren Sie den bekannten Pfad unter Umleiten von und verweisen Sie auf den angegebenen Zertifikatsendpunkt unter Umleiten zu. Ihre Umleitung könnte folgendermaßen aussehen:

      If the URL matches: example.com/.well-known/pki-validation/leabe938a4fe077b31e1ff62b781c123.txt
Then the settings are:Forwarding URL
Then 301 Permanent Redirect:To validation.us-east-1.acm-validations.aws/123456789012/.well-known/pki-validation/leabe938a4fe077b31e1ff62b781c123.txt
    Anmerkung

    Sie können Zertifikatsstatus überprüfen wählen, um zu überprüfen, wann ACM das Zertifikat für die Domain ausstellt.

  3. Wählen Sie Weiter aus.

  4. Führen Sie die Schritte unter Verweis von Domains auf CloudFront aus.

I don't have traffic

Wählen Sie diese Option, wenn Sie neue Domains hinzufügen. CloudFront übernimmt die Zertifikatsvalidierung für Sie.

So schließen Sie die Einrichtung der Domain ohne vorhandenen Datenverkehr ab

  1. Wählen Sie unter Spezifizieren Sie Ihren Web-Datenverkehr die Option Ich habe noch keinen Datenverkehr aus.

  2. Führen Sie für jeden Domainnamen die Schritte unter Verweis von Domains auf CloudFront aus.

  3. Nachdem Sie Ihre DNS-Datensätze für jeden Domainnamen aktualisiert haben, wählen Sie Weiter aus.

  4. Warten Sie, bis das Zertifikat ausgestellt wurde.

    Anmerkung

    Sie können Zertifikatsstatus überprüfen wählen, um zu überprüfen, wann ACM das Zertifikat für die Domain ausstellt.

  5. Wählen Sie Absenden aus.

Verweis von Domains auf CloudFront

Aktualisieren Sie Ihre DNS-Datensätze, um den Datenverkehr von jeder Domain zum CloudFront-Routing-Endpunkt weiterzuleiten. Sie können mehrere Domainnamen haben, aber sie müssen alle zu diesem Endpunkt aufgelöst werden.

So verweisen Domains auf CloudFront

  1. Kopieren Sie den CloudFront-Routing-Endpunktwert, wie z. B. d111111abcdef8.cloudfront.net.

  2. Aktualisieren Sie Ihre DNS-Datensätze, um den Datenverkehr von jeder Domain zum CloudFront-Routing-Endpunkt weiterzuleiten.

    1. Melden Sie sich bei der Domainvergabestelle oder der Managementkonsole für Ihren DNS-Anbieter an.

    2. Navigieren Sie zum DNS-Verwaltungsbereich für Ihre Domain.

      • Für Subdomains – Erstellen Sie einen CNAME-Datensatz. Zum Beispiel:

        • Name – Ihre Subdomain (z. B. www oder app)

        • Wert/Ziel – der CloudFront-Routing-Endpunkt

        • Datensatztyp – CNAME

        • TTL – 3600 (bzw. was für Ihren Anwendungsfall geeignet ist)

      • Für Apex-/Root-Domains – Dies erfordert eine eindeutige DNS-Konfiguration, da CNAME-Standardeinträge nicht auf Root- oder Apex-Domainebene verwendet werden können. Da die meisten DNS-Anbieter ALIAS-Einträge nicht unterstützen, empfehlen wir, einen ALIAS-Eintrag in Route 53 zu erstellen. Zum Beispiel:

        • Name – Ihre Apex-Domain (z. B. example.com)

        • Eintragstyp – A

        • Alias – Ja

        • Alias-Ziel – Ihr CloudFront-Routing-Endpunkt

        • Routing-Richtlinie – Einfach (bzw. was für Ihren Anwendungsfall geeignet ist)

    3. Stellen Sie sicher, dass die DNS-Änderung übernommen wurde. (Dies geschieht normalerweise, wenn die TTL abgelaufen ist. Manchmal kann es 24–48 Stunden dauern.) Verwenden Sie ein Tool wie dig oder nslookup.

      dig www.example.com
# Should eventually return a CNAME pointing to your CloudFront routing endpoint

  3. Kehren Sie zur CloudFront-Konsole zurück und wählen Sie Absenden aus. Wenn Ihre Domain aktiv ist, aktualisiert CloudFront den Domain-Status, um anzuzeigen, dass Ihre Domain bereit ist, Datenverkehr zu bedienen.

Weitere Informationen finden Sie in der Dokumentation zu Ihrem DNS-Anbieter.

Überlegungen zur Domain (Distributionsmandant)

Wenn eine Domain aktiv ist, wurde die Domainkontrolle eingerichtet und CloudFront reagiert auf alle Viewer-Anforderungen an diese Domain. Nach der Aktivierung kann eine Domain nicht deaktiviert oder in einen inaktiven Status geändert werden. Die Domain kann keiner anderen CloudFront-Ressource zugeordnet werden, wenn sie bereits verwendet wird. Um die Domain einer anderen Distribution zuzuordnen, verwenden Sie die UpdateDomainAssociation-Anforderung, um die Domain von einer CloudFront-Ressource auf eine andere zu verschieben.

Wenn eine Domain inaktiv ist, reagiert CloudFront nicht auf Viewer-Anforderungen an die Domain. Beachten Sie Folgendes, wenn die Domain inaktiv ist:

  • Bei einer ausstehenden Zertifikatsanforderung reagiert CloudFront auf Anforderungen für den bekannten Pfad. Solange die Anforderung aussteht, kann die Domain nicht anderen CloudFront-Ressourcen zugeordnet werden.

  • Wenn keine Zertifikatsanforderung aussteht, reagiert CloudFront nicht auf Anforderungen für die Domain. Sie können die Domain anderen CloudFront-Ressourcen zuordnen.

  • Pro Distributionsmandant ist nur eine ausstehende Zertifikatsanforderung erlaubt. Um ein weiteres Zertifikat für andere Domains anzufordern, müssen Sie die bestehende ausstehende Anforderung stornieren. Durch das Stornieren einer vorhandenen Zertifikatsanforderung wird das zugehörige ACM-Zertifikat nicht gelöscht. Sie können es mithilfe der ACM-API löschen.

  • Wenn Sie ein neues Zertifikat auf Ihren Distributionsmandanten anwenden, wird die Zuordnung zum vorherigen Zertifikat aufgehoben. Sie können das Zertifikat wiederverwenden, um die Domain für einen anderen Distributionsmandanten abzudecken.

Wie bei der Verlängerung von DNS-validierten Zertifikaten werden Sie benachrichtigt, wenn die Zertifikatserneuerung erfolgreich ist. Sie müssen jedoch nichts weiter tun. CloudFront verwaltet die Zertifikatsverlängerung für Ihre Domain automatisch.

Anmerkung

Sie müssen die ACM-API-Operationen nicht aufrufen, um Ihre Zertifikatsressourcen zu erstellen oder zu aktualisieren. Sie können Ihre Zertifikate verwalten, indem Sie die API-Operationen CreateDistributionTenant und UpdateDistributionTenant verwenden, um die Details für Ihre verwaltete Zertifikatsanforderung anzugeben.

Platzhalter-Domains (Distributionsmandant)

Platzhalter-Domains werden in folgenden Situationen für Distributionsmandanten unterstützt:

  • wenn der Platzhalter in dem gemeinsamen Zertifikat enthalten ist, das von der übergeordneten Multi-Tenant-Distribution übernommen wurde

  • wenn Sie ein gültiges vorhandenes benutzerdefiniertes TLS-Zertifikat für Ihren Distributionsmandanten verwenden