Fordern Sie Zertifikate für Ihren CloudFront Distributionsmandanten an - Amazon CloudFront

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Fordern Sie Zertifikate für Ihren CloudFront Distributionsmandanten an

Wenn Sie einen Verteilungsmandanten erstellen, erbt der Mandant das gemeinsame Zertifikat AWS Certificate Manager (ACM) von der Mehrmandantenverteilung. Dieses gemeinsame Zertifikat stellt HTTPS für alle Mandanten bereit, die der Mehrmandantenverteilung zugeordnet sind.

Wenn Sie einen CloudFront Verteilungsmandanten erstellen oder aktualisieren, um Domänen hinzuzufügen, können Sie ein verwaltetes CloudFront Zertifikat von ACM hinzufügen. CloudFront erhält dann in Ihrem Namen ein HTTP-validiertes Zertifikat von ACM. Sie können dieses ACM-Zertifikat auf Mandantenebene für benutzerdefinierte Domänenkonfigurationen verwenden. CloudFront optimiert den Verlängerungsablauf, um sicherzustellen, dass Zertifikate up-to-date und die sichere Bereitstellung von Inhalten unterbrechungsfrei erfolgen.

Anmerkung

Sie besitzen das Zertifikat, aber es kann nur mit CloudFront Ressourcen verwendet werden und der private Schlüssel kann nicht exportiert werden.

Sie können das Zertifikat anfordern, wenn Sie den Verteilungsmandanten erstellen oder aktualisieren.

Fügen Sie eine Domäne und ein Zertifikat hinzu (Distributionsmandant)

Das folgende Verfahren zeigt Ihnen, wie Sie eine Domäne hinzufügen und das Zertifikat für einen Verteilungsmandanten aktualisieren.

So fügen Sie eine Domäne und ein Zertifikat hinzu (Distributionsmandant)
  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die CloudFront Konsole unterhttps://console.aws.amazon.com/cloudfront/v4/home.

  2. Wählen Sie unter SaaS die Option Distribution Tenants aus.

  3. Suchen Sie nach dem Distributionsmandanten. Verwenden Sie das Dropdownmenü in der Suchleiste, um nach Domäne, Name, Distributions-ID, Zertifikat-ID, Verbindungsgruppen-ID oder Web-ACL-ID zu filtern.

  4. Wählen Sie den Namen des Verteilungsmandanten aus.

  5. Wählen Sie für Domains die Option Domain verwalten aus.

  6. Wählen Sie unter Zertifikat aus, ob Sie ein benutzerdefiniertes TLS-Zertifikat für Ihren Distributionsmandanten wünschen. Das Zertifikat bestätigt, ob Sie berechtigt sind, den Domainnamen zu verwenden. Das Zertifikat muss in der Region USA Ost (Nord-Virginia) existieren.

  7. Wählen Sie für Domains die Option Add domain aus und geben Sie den Domainnamen ein. Abhängig von Ihrer Domain werden die folgenden Meldungen unter dem von Ihnen eingegebenen Domainnamen angezeigt.

    • Diese Domain ist durch das Zertifikat abgedeckt.

    • Diese Domain ist durch das Zertifikat abgedeckt, deren Validierung noch aussteht.

    • Diese Domain ist nicht durch ein Zertifikat abgedeckt. (Das bedeutet, dass Sie die Inhaberschaft der Domain verifizieren müssen.)

  8. Wählen Sie „Distributionsmandant aktualisieren“.

    Auf der Seite mit den Mandantendetails finden Sie unter Domains die folgenden Felder:

    • Domainbesitz — Der Status des Domainbesitzes. Bevor Inhalte CloudFront bereitgestellt werden können, muss Ihr Domainbesitz mithilfe der TLS-Zertifikatsvalidierung verifiziert werden.

    • DNS-Status — Die DNS-Einträge Ihrer Domain müssen auf diese verweisen, CloudFront um den Datenverkehr korrekt weiterzuleiten.

  9. Wenn Ihre Domaininhaberschaft nicht bestätigt wurde, wählen Sie auf der Seite mit den Mandantendetails unter Domains die Option Domaineinrichtung abschließen aus und führen Sie dann das folgende Verfahren aus, um den DNS-Eintrag auf Ihren CloudFront Domainnamen zu verweisen.

Schließen Sie die Domaineinrichtung ab

Gehen Sie wie folgt vor, um sicherzustellen, dass Sie Eigentümer der Domain für Ihre Vertriebsmandanten sind. Wählen Sie je nach Ihrer Domain eines der folgenden Verfahren aus.

Anmerkung

Wenn auf Ihre Domain bereits CloudFront mit einem Amazon Route 53-Aliaseintrag verwiesen wird, müssen Sie Ihren DNS-TXT-Eintrag mit _cf-challenge. vor dem Domainnamen hinzufügen. Dieser TXT-Eintrag bestätigt, dass Ihr Domainname mit verknüpft ist. CloudFront Wiederholen Sie diesen Schritt für jede Domain. Im Folgenden wird gezeigt, wie Sie Ihren TXT-Eintrag aktualisieren:

  • Name des Datensatzes: _cf-challenge.DomainName

  • Datensatztyp: TXT

  • Wert des Datensatzes: CloudFrontRoutingEndpoint

Ihr TXT-Eintrag könnte beispielsweise wie folgt aussehen: _cf-challenge.example.com TXT d111111abcdef8.cloudfront.net

Sie finden Ihren CloudFront Routing-Endpunkt in der Konsole auf der Detailseite des Distributionsmandanten oder verwenden Sie die ListConnectionGroupsAPI-Aktion in der Amazon CloudFront API-Referenz, um ihn zu finden.

I have existing traffic

Wählen Sie diese Option, wenn Ihre Domain keine Ausfallzeiten toleriert. Sie müssen Zugriff auf Ihren Ursprungs-/Webserver haben. Gehen Sie wie folgt vor, um den Domainbesitz zu überprüfen.

Um die Einrichtung der Domain abzuschließen, wenn bereits Traffic vorhanden ist
  1. Wählen Sie unter Spezifizieren Sie Ihren Web-Traffic die Option Ich habe vorhandenen Traffic und dann Weiter aus.

  2. Wählen Sie für Domain-Inhaberschaft verifizieren eine der folgenden Optionen aus:

    • Bestehendes Zertifikat verwenden — Suchen Sie nach einem vorhandenen ACM-Zertifikat oder geben Sie den Zertifikat-ARN ein, der die aufgelisteten Domänen abdeckt.

    • Manuelles Hochladen von Dateien — Wählen Sie aus, ob Sie direkten Zugriff auf das Hochladen von Dateien auf Ihren Webserver haben.

      Erstellen Sie für jede Domain eine Klartextdatei, die Ihr Validierungstoken vom Token-Speicherort enthält, und laden Sie es an Ihren Ursprung unter dem angegebenen Dateipfad auf Ihrem vorhandenen Server hoch. Der Pfad zu dieser Datei könnte wie das folgende Beispiel aussehen:/.well-known/pki-validation/acm_9c2a7b2ec0524d09fa6013efb73ad123.txt. Nachdem Sie diesen Schritt abgeschlossen haben, verifiziert ACM das Token und stellt dann das TLS-Zertifikat für die Domain aus.

    • HTTP-Weiterleitung — Wählen Sie aus, ob Sie keinen direkten Zugriff zum Hochladen von Dateien auf Ihren Webserver haben oder ob Sie einen CDN- oder Proxydienst verwenden.

      Erstellen Sie für jede Domain eine 301-Weiterleitung auf Ihrem vorhandenen Server. Kopieren Sie den bekannten Pfad unter Umleiten von und verweisen Sie auf den angegebenen Zertifikatsendpunkt unter Umleiten zu. Ihre Weiterleitung könnte wie das folgende Beispiel aussehen:

      If the URL matches: example.com/.well-known/pki-validation/leabe938a4fe077b31e1ff62b781c123.txt Then the settings are:Forwarding URL Then 301 Permanent Redirect:To validation.us-east-1.acm-validations.aws/123456789012/.well-known/pki-validation/leabe938a4fe077b31e1ff62b781c123.txt
    Anmerkung

    Sie können Zertifikatsstatus überprüfen wählen, um zu überprüfen, wann ACM das Zertifikat für die Domain ausstellt.

  3. Wählen Sie Weiter aus.

  4. Führen Sie die Schritte für Verweisen Sie Domains auf CloudFront aus.

I don't have traffic

Wählen Sie diese Option, wenn Sie neue Domains hinzufügen. CloudFront verwaltet die Zertifikatsvalidierung für Sie.

Um die Domaineinrichtung abzuschließen, wenn Sie keinen Traffic haben
  1. Wählen Sie unter Spezifizieren Sie Ihren Web-Traffic die Option Ich habe noch keinen Traffic aus.

  2. Führen Sie für jeden Domainnamen die Schritte für ausVerweisen Sie Domains auf CloudFront.

  3. Nachdem Sie Ihre DNS-Einträge für jeden Domainnamen aktualisiert haben, wählen Sie Weiter.

  4. Warten Sie, bis das Zertifikat ausgestellt wurde.

    Anmerkung

    Sie können Zertifikatsstatus überprüfen wählen, um zu überprüfen, wann ACM das Zertifikat für die Domain ausstellt.

  5. Wählen Sie Absenden aus.

Verweisen Sie Domains auf CloudFront

Aktualisieren Sie Ihre DNS-Einträge, um den Verkehr von jeder Domain zum CloudFront Routing-Endpunkt weiterzuleiten. Sie können mehrere Domainnamen haben, aber sie müssen zu diesem Endpunkt aufgelöst werden.

Um Domains zu verweisen CloudFront
  1. Kopieren Sie den CloudFront Routing-Endpunktwert, z. B. d111111abcdef8.cloudfront.net.

  2. Aktualisieren Sie Ihre DNS-Einträge, um den Verkehr von jeder Domain zum Routing-Endpunkt weiterzuleiten. CloudFront

    1. Melden Sie sich bei der Verwaltungskonsole Ihres Domain-Registrars oder DNS-Providers an.

    2. Navigieren Sie zum DNS-Verwaltungsbereich für Ihre Domain.

      • Für Subdomains — Erstellen Sie einen CNAME-Eintrag. Zum Beispiel:

        • Name — Ihre Subdomain (wie oder) www app

        • Value//Target — Der CloudFront Routing-Endpunkt

        • Datensatztyp — CNAME

        • TTL — 3600 (oder was auch immer für Ihren Anwendungsfall geeignet ist)

      • Für Apex-/Root-Domains — Erstellen Sie einen ALIAS-Eintrag (Route 53) oder eine ähnliche Funktion von Ihrem DNS-Anbieter, der die Apex-Domänenumleitung ermöglicht. Zum Beispiel in Route 53:

        • Name — Ihre Apex-Domain (z. B.example.com)

        • Datensatztyp — A

        • Alias — Ja

        • Alias-Ziel — Ihr CloudFront Routing-Endpunkt

        • Routing-Richtlinie — Einfach (oder was auch immer für Ihren Anwendungsfall geeignet ist)

    3. Stellen Sie sicher, dass die DNS-Änderung weitergegeben wurde. (Dies kann 24-48 Stunden dauern.) Verwenden Sie ein Tool wie dig odernslookup.

      dig www.example.com # Should eventually return a CNAME pointing to your CloudFront routing endpoint
  3. Kehren Sie zur CloudFront Konsole zurück und wählen Sie Submit. Dadurch kehren Sie zur Seite für den Distributionsmandanten zurück. Wenn Ihre Domain aktiv ist, CloudFront aktualisiert der Domainstatus, um anzuzeigen, dass Ihre Domain bereit ist, Traffic bereitzustellen.

Überlegungen zur Domain (Vertriebsmandant)

Wenn eine Domäne aktiv ist, wurde die Domänensteuerung eingerichtet, CloudFront die auf alle Besucheranfragen an diese Domäne reagiert. Nach der Aktivierung kann eine Domain nicht deaktiviert oder in einen inaktiven Status geändert werden. Die Domain kann keiner anderen CloudFront Ressource zugeordnet werden, solange sie bereits verwendet wird. Um die Domain einer anderen Distribution zuzuordnen, verwenden Sie die UpdateDomainAssociationAnfrage, um die Domain von einer CloudFront Ressource auf eine andere zu verschieben.

Wenn eine Domain inaktiv ist, reagiert sie CloudFront nicht auf Zuschaueranfragen an die Domain. Beachten Sie Folgendes, solange die Domain inaktiv ist:

  • Wenn Sie eine ausstehende Zertifikatsanfrage haben, CloudFront beantwortet Anfragen für den bekannten Pfad. Solange die Anfrage aussteht, kann die Domain keinen anderen CloudFront Ressourcen zugeordnet werden.

  • Wenn Sie keine ausstehende Zertifikatsanforderung haben, beantwortet sie CloudFront keine Anfragen für die Domain. Sie können die Domain mit anderen CloudFront Ressourcen verknüpfen.

  • Pro Verteilungsmandant kann nur eine ausstehende Zertifikatsanforderung vorliegen. Bevor Sie ein weiteres Zertifikat für weitere Domänen anfordern können, müssen Sie die bestehende ausstehende Anfrage stornieren. Durch das Stornieren einer vorhandenen Zertifikatsanforderung wird das zugehörige ACM-Zertifikat nicht gelöscht. Sie können das mithilfe der ACM-API löschen.

  • Wenn Sie ein neues Zertifikat auf Ihren Distributionsmandanten anwenden, wird dadurch die Zuordnung zum vorherigen Zertifikat aufgehoben. Sie können das Zertifikat wiederverwenden, um die Domäne für einen anderen Verteilungsmandanten abzudecken.

Wie bei Verlängerungen von DNS-validierten Zertifikaten werden Sie benachrichtigt, wenn die Zertifikatserneuerung erfolgreich ist. Sie müssen jedoch nichts weiter tun. CloudFront verwaltet die Zertifikatsverlängerung für Ihre Domain automatisch.

Anmerkung

Sie müssen die ACM-API-Operationen nicht aufrufen, um Ihre Zertifikatsressourcen zu erstellen oder zu aktualisieren. Sie können Ihre Zertifikate verwalten, indem Sie die UpdateDistributionTenantAPI-Operationen CreateDistributionTenantund verwenden, um die Details für Ihre verwaltete Zertifikatsanforderung anzugeben.