Fordern Sie Zertifikate für Ihren CloudFront Distributionsmandanten an - Amazon CloudFront
Hinzufügen einer Domain und eines Zertifikats (Distributionsmandant)Abschließen der DomaineinrichtungVerweisen Sie Domains auf CloudFrontÜberlegungen zur Domain (Distributionsmandant)Platzhalter-Domains (Distributionsmandant)

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Fordern Sie Zertifikate für Ihren CloudFront Distributionsmandanten an

Wenn Sie einen Verteilungsmandanten erstellen, erbt der Mandant das gemeinsame Zertifikat AWS Certificate Manager (ACM) von der Mehrmandantenverteilung. Dieses gemeinsame Zertifikat stellt HTTPS für alle Mandanten bereit, die der Multi-Tenant-Distribution zugeordnet sind.

Wenn Sie einen CloudFront Verteilungsmandanten erstellen oder aktualisieren, um Domänen hinzuzufügen, können Sie ein verwaltetes CloudFront Zertifikat von ACM hinzufügen. CloudFront erhält dann in Ihrem Namen ein HTTP-validiertes Zertifikat von ACM. Sie können dieses ACM-Zertifikat auf Mandantenebene für benutzerdefinierte Domänenkonfigurationen verwenden. CloudFront optimiert den Verlängerungsablauf, um sicherzustellen, dass Zertifikate up-to-date und die sichere Bereitstellung von Inhalten unterbrechungsfrei erfolgen.

Anmerkung

Sie besitzen das Zertifikat, aber es kann nur mit CloudFront Ressourcen verwendet werden und der private Schlüssel kann nicht exportiert werden.

Sie können das Zertifikat anfordern, wenn Sie den Distributionsmandanten erstellen oder aktualisieren.

Hinzufügen einer Domain und eines Zertifikats (Distributionsmandant)

Das folgende Verfahren veranschaulicht, wie Sie eine Domain hinzufügen und das Zertifikat für einen Distributionsmandanten aktualisieren.

So fügen Sie eine Domain und ein Zertifikat hinzu (Distributionsmandant)

  1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die CloudFront Konsole unterhttps://console.aws.amazon.com/cloudfront/v4/home.

  2. Wählen Sie unter SaaS die Option Distributionsmandanten aus.

  3. Suchen Sie nach dem Distributionsmandanten. Verwenden Sie das Dropdown-Menü in der Suchleiste, um nach Domain, Name, Distributions-ID, Zertifikat-ID, Verbindungsgruppen-ID oder Web-ACL-ID zu filtern.

  4. Wählen Sie den Namen des Distributionsmandanten aus.

  5. Wählen Sie für Domains die Option Domain verwalten aus.

  6. Wählen Sie unter Zertifikat aus, ob ein benutzerdefiniertes TLS-Zertifikat für Ihren Distributionsmandanten verwendet werden soll. Das Zertifikat prüft, ob Sie berechtigt sind, den Domainnamen zu verwenden. Das Zertifikat muss in der Region USA Ost (Nord-Virginia) vorhanden sein.

  7. Wählen Sie für Domains die Option Domain hinzufügen aus und geben Sie den Domainnamen ein. Abhängig von Ihrer Domain werden die folgenden Meldungen unter dem eingegebenen Domainnamen angezeigt.

    • Diese Domain ist durch das Zertifikat abgedeckt.

    • Diese Domain ist durch das Zertifikat abgedeckt, Validierung ausstehend.

    • Diese Domain ist nicht durch ein Zertifikat abgedeckt. (Das bedeutet, dass Sie die Inhaberschaft der Domain verifizieren müssen.)

  8. Wählen Sie Distributionsmandant aktualisieren aus.

    Auf der Seite mit den Mandantendetails finden Sie unter Domains die folgenden Felder:

    • Domaininhaberschaft – der Status der Inhaberschaft der Domain. Bevor Inhalte CloudFront bereitgestellt werden können, muss Ihr Domaininhaber mithilfe der TLS-Zertifikatsvalidierung verifiziert werden.

    • DNS-Status — Die DNS-Einträge Ihrer Domain müssen auf diese verweisen, CloudFront um den Datenverkehr korrekt weiterzuleiten.

  9. Wenn Ihre Domaininhaberschaft nicht bestätigt wurde, wählen Sie auf der Seite mit den Mandantendetails unter Domains die Option Domaineinrichtung abschließen aus und führen Sie dann das folgende Verfahren aus, um den DNS-Eintrag auf Ihren CloudFront Domainnamen zu verweisen.

Abschließen der Domaineinrichtung

Gehen Sie wie folgt vor, um zu überprüfen, ob Sie Inhaber der Domain für Ihre Distributionsmandanten sind. Wählen Sie je nach Domain eines der folgenden Verfahren aus.

Anmerkung

Wenn auf Ihre Domain bereits CloudFront mit einem Amazon Route 53-Aliaseintrag verwiesen wird, müssen Sie Ihren DNS-TXT-Eintrag mit _cf-challenge. vor dem Domainnamen hinzufügen. Dieser TXT-Eintrag bestätigt, dass Ihr Domainname mit verknüpft ist. CloudFront Wiederholen Sie diesen Schritt für jede Domain. Nachfolgend wird gezeigt, wie Sie Ihren TXT-Eintrag aktualisieren:

  • Eintragsname: _cf-challenge.DomainName

  • Eintragstyp: TXT

  • Eintragswert: CloudFrontRoutingEndpoint

Ihr TXT-Eintrag könnte beispielsweise so aussehen: _cf-challenge.example.com TXT d111111abcdef8.cloudfront.net

Sie finden Ihren CloudFront Routing-Endpunkt in der Konsole auf der Detailseite des Distributionsmandanten oder verwenden Sie die ListConnectionGroupsAPI-Aktion in der Amazon CloudFront API-Referenz, um ihn zu finden.

Tipp

Wenn Sie ein SaaS-Anbieter sind und die Ausstellung von Zertifikaten zulassen möchten, ohne dass Ihre Kunden (Mandanten) einen TXT-Eintrag direkt zu ihrem DNS hinzufügen müssen, gehen Sie wie folgt vor:

  1. Wenn Sie Inhaber der Domain example-saas-provider.com sind, weisen Sie Ihren Mandanten Subdomains zu, z. B. customer-123.example-saas-provider.com.

  2. Fügen Sie in Ihrem DNS den TXT-Eintrag _cf-challenge.customer-123.example-saas-provider.com TXT d111111abcdef8.cloudfront.net zu Ihrer DNS-Konfiguration hinzu.

  3. Als Nächstes können Ihre Kunden (die Mandanten) ihren eigenen DNS-Eintrag aktualisieren, um ihren Domainnamen der von Ihnen angegebenen Subdomain zuzuordnen.

    www.customer-domain.com CNAME customer-123.example-saas-provider.com

I have existing traffic

Wählen Sie diese Option, wenn Ihre Domain keine Ausfallzeiten toleriert. Sie müssen Zugriff auf Ihren origin/web Server haben. Gehen Sie wie folgt vor, um die Domaininhaberschaft zu überprüfen.

So schließen Sie die Einrichtung der Domain bei vorhandenem Datenverkehr ab

  1. Wählen Sie unter Spezifizieren Sie Ihren Web-Datenverkehr die Option Ich habe vorhandenen Datenverkehr und dann Weiter aus.

  2. Wählen Sie für Domain-Inhaberschaft verifizieren eine der folgenden Optionen aus:

    • Vorhandenes Zertifikat verwenden – Suchen Sie nach einem vorhandenen ACM-Zertifikat oder geben Sie den Zertifikat-ARN ein, der die aufgelisteten Domains abdeckt.

    • Manueller Datei-Upload – Wählen Sie aus, ob Sie direkten Zugriff auf das Hochladen von Dateien auf Ihren Webserver haben.

      Erstellen Sie für jede Domain eine Klartextdatei, die Ihr Validierungstoken vom Token-Speicherort enthält, und laden Sie sie an Ihren Ursprung unter dem angegebenen Dateipfad auf Ihrem vorhandenen Server hoch. Der Pfad zu dieser Datei könnte wie folgt aussehen: /.well-known/pki-validation/acm_9c2a7b2ec0524d09fa6013efb73ad123.txt. Nachdem Sie diesen Schritt abgeschlossen haben, verifiziert ACM das Token und stellt dann das TLS-Zertifikat für die Domain aus.

    • HTTP-Weiterleitung – Wählen Sie aus, ob Sie keinen direkten Zugriff zum Hochladen von Dateien auf Ihren Webserver haben oder ob Sie einen CDN- oder Proxydienst verwenden.

      Erstellen Sie für jede Domain eine 301-Weiterleitung auf Ihrem vorhandenen Server. Kopieren Sie den bekannten Pfad unter Umleiten von und verweisen Sie auf den angegebenen Zertifikatsendpunkt unter Umleiten zu. Ihre Umleitung könnte folgendermaßen aussehen:

      If the URL matches: example.com/.well-known/pki-validation/leabe938a4fe077b31e1ff62b781c123.txt
Then the settings are:Forwarding URL
Then 301 Permanent Redirect:To validation.us-east-1.acm-validations.aws/123456789012/.well-known/pki-validation/leabe938a4fe077b31e1ff62b781c123.txt
    Anmerkung

    Sie können Zertifikatsstatus überprüfen wählen, um zu überprüfen, wann ACM das Zertifikat für die Domain ausstellt.

  3. Wählen Sie Weiter aus.

  4. Führen Sie die Schritte unter Verweisen Sie Domains auf CloudFront aus.

I don't have traffic

Wählen Sie diese Option, wenn Sie neue Domains hinzufügen. CloudFront verwaltet die Zertifikatsvalidierung für Sie.

So schließen Sie die Einrichtung der Domain ohne vorhandenen Datenverkehr ab

  1. Wählen Sie unter Spezifizieren Sie Ihren Web-Datenverkehr die Option Ich habe noch keinen Datenverkehr aus.

  2. Führen Sie für jeden Domainnamen die Schritte unter Verweisen Sie Domains auf CloudFront aus.

  3. Nachdem Sie Ihre DNS-Datensätze für jeden Domainnamen aktualisiert haben, wählen Sie Weiter aus.

  4. Warten Sie, bis das Zertifikat ausgestellt wurde.

    Anmerkung

    Sie können Zertifikatsstatus überprüfen wählen, um zu überprüfen, wann ACM das Zertifikat für die Domain ausstellt.

  5. Wählen Sie Absenden aus.

Verweisen Sie Domains auf CloudFront

Aktualisieren Sie Ihre DNS-Einträge, um den Verkehr von jeder Domain zum CloudFront Routing-Endpunkt weiterzuleiten. Sie können mehrere Domainnamen haben, aber sie müssen alle zu diesem Endpunkt aufgelöst werden.

Um Domains zu verweisen CloudFront

  1. Kopieren Sie den CloudFront Routing-Endpunktwert, z. B. d111111abcdef8.cloudfront.net.

  2. Aktualisieren Sie Ihre DNS-Einträge, um den Verkehr von jeder Domain zum Routing-Endpunkt weiterzuleiten. CloudFront

    1. Melden Sie sich bei der Domainvergabestelle oder der Managementkonsole für Ihren DNS-Anbieter an.

    2. Navigieren Sie zum DNS-Verwaltungsbereich für Ihre Domain.

      • Für Subdomains – Erstellen Sie einen CNAME-Datensatz. Beispiel:

        • Name – Ihre Subdomain (z. B. www oder app)

        • Value//Target — Der CloudFront Routing-Endpunkt

        • Datensatztyp – CNAME

        • TTL – 3600 (bzw. was für Ihren Anwendungsfall geeignet ist)

      • Für apex/root Domänen — Dies erfordert eine eindeutige DNS-Konfiguration, da CNAME-Standardeinträge nicht auf Stamm- oder Apex-Domänenebene verwendet werden können. Da die meisten DNS-Anbieter ALIAS-Einträge nicht unterstützen, empfehlen wir, einen ALIAS-Eintrag in Route 53 zu erstellen. Beispiel:

        • Name – Ihre Apex-Domain (z. B. example.com)

        • Eintragstyp – A

        • Alias – Ja

        • Alias-Ziel — Ihr Routing-Endpunkt CloudFront

        • Routing-Richtlinie – Einfach (bzw. was für Ihren Anwendungsfall geeignet ist)

    3. Stellen Sie sicher, dass die DNS-Änderung übernommen wurde. (Dies geschieht normalerweise, wenn die TTL abgelaufen ist. Manchmal kann es 24–48 Stunden dauern.) Verwenden Sie ein Tool wie dig oder nslookup.

      dig www.example.com
# Should eventually return a CNAME pointing to your CloudFront routing endpoint

  3. Kehren Sie zur CloudFront Konsole zurück und wählen Sie Submit. Wenn Ihre Domain aktiv ist, CloudFront aktualisiert sie den Domain-Status, um anzuzeigen, dass Ihre Domain bereit ist, Traffic bereitzustellen.

Weitere Informationen finden Sie in der Dokumentation zu Ihrem DNS-Anbieter.

Überlegungen zur Domain (Distributionsmandant)

Wenn eine Domain aktiv ist, wurde die Domainkontrolle eingerichtet und CloudFront beantwortet alle Anfragen von Zuschauern an diese Domain. Nach der Aktivierung kann eine Domain nicht deaktiviert oder in einen inaktiven Status geändert werden. Die Domain kann keiner anderen CloudFront Ressource zugeordnet werden, solange sie bereits verwendet wird. Um die Domain einer anderen Distribution zuzuordnen, verwenden Sie die UpdateDomainAssociationAnfrage, um die Domain von einer CloudFront Ressource auf eine andere zu verschieben.

Wenn eine Domain inaktiv ist, reagiert sie CloudFront nicht auf Zuschaueranfragen an die Domain. Beachten Sie Folgendes, wenn die Domain inaktiv ist:

  • Wenn Sie eine ausstehende Zertifikatsanforderung haben, CloudFront beantwortet sie Anfragen für den bekannten Pfad. Solange die Anfrage aussteht, kann die Domain keinen anderen CloudFront Ressourcen zugeordnet werden.

  • Wenn Sie keine ausstehende Zertifikatsanforderung haben, beantwortet sie CloudFront keine Anfragen für die Domain. Sie können die Domain mit anderen CloudFront Ressourcen verknüpfen.

  • Pro Distributionsmandant ist nur eine ausstehende Zertifikatsanforderung erlaubt. Um ein weiteres Zertifikat für andere Domains anzufordern, müssen Sie die bestehende ausstehende Anforderung stornieren. Durch das Stornieren einer vorhandenen Zertifikatsanforderung wird das zugehörige ACM-Zertifikat nicht gelöscht. Sie können es mithilfe der ACM-API löschen.

  • Wenn Sie ein neues Zertifikat auf Ihren Distributionsmandanten anwenden, wird die Zuordnung zum vorherigen Zertifikat aufgehoben. Sie können das Zertifikat wiederverwenden, um die Domain für einen anderen Distributionsmandanten abzudecken.

Wie bei der Verlängerung von DNS-validierten Zertifikaten werden Sie benachrichtigt, wenn die Zertifikatserneuerung erfolgreich ist. Sie müssen jedoch nichts weiter tun. CloudFront verwaltet die Zertifikatsverlängerung für Ihre Domain automatisch.

Anmerkung

Sie müssen die ACM-API-Operationen nicht aufrufen, um Ihre Zertifikatsressourcen zu erstellen oder zu aktualisieren. Sie können Ihre Zertifikate verwalten, indem Sie die Operationen CreateDistributionTenantund UpdateDistributionTenantAPI verwenden, um die Details für Ihre verwaltete Zertifikatsanforderung anzugeben.

Platzhalter-Domains (Distributionsmandant)

Platzhalter-Domains werden in folgenden Situationen für Distributionsmandanten unterstützt:

  • wenn der Platzhalter in dem gemeinsamen Zertifikat enthalten ist, das von der übergeordneten Multi-Tenant-Distribution übernommen wurde

  • wenn Sie ein gültiges vorhandenes benutzerdefiniertes TLS-Zertifikat für Ihren Distributionsmandanten verwenden