Solicitud de certificados para el inquilino de distribución de CloudFront - Amazon CloudFront
Agregación de un dominio y un certificado (inquilino de distribución)Configuración completa de dominioDirección de dominios a CloudFrontConsideraciones sobre el dominio (inquilino de distribución)

Solicitud de certificados para el inquilino de distribución de CloudFront

Cuando crea un inquilino de distribución, el inquilino hereda el certificado compartido de AWS Certificate Manager (ACM) de la distribución de varios inquilinos. Este certificado compartido proporciona HTTPS para todos los inquilinos asociados a la distribución de varios inquilinos.

Al crear o actualizar un inquilino de distribución de CloudFront para agregar dominios, puede agregar un certificado de CloudFront administrado desde ACM. A continuación, CloudFront obtiene un certificado validado por HTTP de ACM en su nombre. Puede usar este certificado de ACM en el nivel de inquilino para configuraciones de dominio personalizadas. CloudFront optimiza el flujo de trabajo de renovación para ayudar a mantener los certificados actualizados y garantizar la entrega de contenido sin interrupciones.

nota

Posee el certificado, pero solo se puede usar con los recursos de CloudFront y la clave privada no se puede exportar.

Puede solicitar el certificado al crear o actualizar el inquilino de distribución.

Agregación de un dominio y un certificado (inquilino de distribución)

El siguiente procedimiento muestra cómo agregar un dominio y actualizar el certificado de un inquilino de distribución.

Agregación de un dominio y un certificado (inquilino de distribución)

  1. Inicie sesión en la AWS Management Console y abra la consola de CloudFront en https://console.aws.amazon.com/cloudfront/v4/home.

  2. En SaaS, elija Inquilinos de distribución.

  3. Busque el inquilino de distribución. Utilice el menú desplegable de la barra de búsqueda para filtrar por dominio, nombre, ID de distribución, ID de certificado, ID de grupo de conexión o ID de ACL web.

  4. Elija el nombre del inquilino de la distribución.

  5. En Dominios, elija Administrar dominio.

  6. En Certificado, elija si desea un certificado TLS personalizado para el inquilino de distribución. El certificado verifica si está autorizado a usar el nombre de dominio. El certificado debe existir en la región Este de EE. UU. (Norte de Virginia).

  7. En Dominios, elija Agregar dominio e ingrese el nombre de dominio. Según el dominio, los siguientes mensajes aparecerán bajo el nombre de dominio que ingrese.

    • Este dominio está cubierto por el certificado.

    • Este dominio está cubierto por el certificado, pendiente de validación.

    • Este dominio está cubierto por el certificado. (Esto significa que debe verificar la propiedad del dominio).

  8. Elija Actualizar inquilino de distribución.

    En la página de detalles del inquilino, en Dominios, puede ver los siguientes campos:

    • Propiedad del dominio: el estado de la propiedad del dominio. Antes de que CloudFront pueda ofrecer contenido, se debe verificar la propiedad del dominio mediante la validación del certificado TLS.

    • Estado de DNS: los registros de DNS del dominio deben apuntar a CloudFront para enrutar el tráfico correctamente.

  9. Si no se ha verificado la propiedad del dominio, en la página de detalles del inquilino, en Dominios, elija Configuración completa del dominio y, a continuación, complete el siguiente procedimiento para apuntar el registro de DNS al nombre de dominio de CloudFront.

Configuración completa de dominio

Siga estos procedimientos para verificar que posee el dominio de los inquilinos de distribución. En función del dominio, elija uno de los procedimientos siguientes.

nota

Si el dominio ya apunta a CloudFront con un registro de alias de Amazon Route 53, debe agregar el registro TXT de DNS con _cf-challenge. delante del nombre de dominio. Este registro TXT verifica que el nombre de dominio esté vinculado a CloudFront. Repita este paso para cada dominio. A continuación, se muestra cómo actualizar el registro de TXT:

  • Nombre del registro: _cf-challenge.DomainName

  • Tipo del registro: TXT

  • Valor del registro: CloudFrontRoutingEndpoint

Por ejemplo, el registro de TXT podría tener un aspecto similar al siguiente: _cf-challenge.example.com TXT d111111abcdef8.cloudfront.net

Puede encontrar el punto de conexión de enrutamiento de CloudFront en la consola, en la página de detalles del arrendatario de distribución, o utilizar la acción de la API ListConnectionGroups en la Referencia de la API de Amazon CloudFront para encontrarlo.

I have existing traffic

Seleccione esta opción si el dominio no puede tolerar el tiempo de inactividad. Debe tener acceso al servidor web o de origen. Utilice el siguiente procedimiento para validar la propiedad del dominio.

Cómo completar la configuración del dominio cuando hay tráfico

  1. En Especificar el tráfico web, elija Tengo tráfico existente y, a continuación, elija Siguiente.

  2. En Verificar la propiedad del dominio, elija una de las siguientes opciones:

    • Utilizar certificado existente: busque un certificado de ACM existente o ingrese el ARN del certificado que cubre los dominios mostrados.

    • Carga manual de archivos: elija esta opción si tiene acceso directo para cargar archivos al servidor web.

      Para cada dominio, cree un archivo de texto sin formato que contenga el token de validación desde la ubicación del token y cárguelo en el origen en la ruta de archivo especificada en el servidor actual. La ruta a este archivo podría tener un aspecto similar al siguiente: /.well-known/pki-validation/acm_9c2a7b2ec0524d09fa6013efb73ad123.txt. Tras completar ese paso, ACM verifica el token y, a continuación, emite el certificado TLS para el dominio.

    • Redirección HTTP: elija si no tiene acceso directo para cargar archivos al servidor web o si utiliza una CDN o un servicio proxy.

      Para cada dominio, se crea una redirección 301 en el servidor actual. Copie la ruta conocida en Redirigir desde y diríjala al punto de conexión del certificado especificado en Redirigir a. La redirección podría tener un aspecto similar al siguiente:

      If the URL matches: example.com/.well-known/pki-validation/leabe938a4fe077b31e1ff62b781c123.txt
Then the settings are:Forwarding URL
Then 301 Permanent Redirect:To validation.us-east-1.acm-validations.aws/123456789012/.well-known/pki-validation/leabe938a4fe077b31e1ff62b781c123.txt
    nota

    Puede elegir Comprobar el estado del certificado para verificar cuándo ACM emite el certificado para el dominio.

  3. Elija Siguiente.

  4. Complete los pasos para Dirección de dominios a CloudFront.

I don't have traffic

Seleccione esta opción si va a agregar dominios nuevos. CloudFront administrará la validación de los certificados por usted.

Cómo completar la configuración del dominio si no tiene tráfico

  1. En Especificar el tráfico web, elija Aún no tengo tráfico.

  2. Para cada nombre de dominio, complete los pasos de Dirección de dominios a CloudFront.

  3. Después de actualizar los registros de DNS de cada nombre de dominio, elija Siguiente.

  4. Espere a que se emita el certificado.

    nota

    Puede elegir Comprobar el estado del certificado para verificar cuándo ACM emite el certificado para el dominio.

  5. Elija Enviar.

Dirección de dominios a CloudFront

Actualice los registros de DNS para dirigir el tráfico de cada dominio al punto de conexión de enrutamiento de CloudFront. Puede tener varios nombres de dominio, pero todos deben resolverse a este punto de conexión.

Dirección de dominios a CloudFront

  1. Copie el valor del punto de conexión de enrutamiento de CloudFront, como d111111abcdef8.cloudfront.net.

  2. Actualice los registros de DNS para dirigir el tráfico de cada dominio al punto de conexión de enrutamiento de CloudFront.

    1. Inicie sesión en el registrador de dominios o en la consola de administración del proveedor de DNS.

    2. Vaya a la sección de administración de DNS del dominio.

      • Para subdominios: cree un registro CNAME. Por ejemplo:

        • Nombre: el subdominio (como www o app)

        • Valor/objetivo: el punto de conexión de enrutamiento de CloudFront

        • Tipo de registro: CNAME

        • TTL: 3600 (o lo que sea adecuado para el caso de uso)

      • Para dominios apex o raíz: cree un registro ALIAS (Route 53) o una funcionalidad similar desde el proveedor de DNS que permita la redirección de dominios apex. Por ejemplo, en Route 53:

        • Nombre: el dominio de apex (por ejemplo, example.com)

        • Tipo de registro: A

        • Alias: sí

        • Destino de alias: el punto de conexión de enrutamiento de CloudFront

        • Política de enrutamiento: simple (o lo que sea apropiado para el caso de uso)

    3. Compruebe que el cambio de DNS se haya propagado. (Esto puede tardar 24-48 horas). Use una herramienta como dig o nslookup.

      dig www.example.com
# Should eventually return a CNAME pointing to your CloudFront routing endpoint

  3. Vuelva a la consola de CloudFront y elija Enviar. Esto le llevará a la página de inquilinos de distribución. Cuando el dominio está activo, CloudFront actualiza el estado del dominio para indicar que el dominio está listo para atender el tráfico.

Consideraciones sobre el dominio (inquilino de distribución)

Cuando un dominio está activo, se ha establecido el control del dominio y CloudFront responderá a todas las solicitudes de los lectores a este dominio. Una vez activado, un dominio no se puede desactivar ni cambiar a un estado inactivo. El dominio no se puede asociar a otro recurso de CloudFront mientras ya esté en uso. Para asociar el dominio a otra distribución, utilice la solicitud UpdateDomainAssociation para mover el dominio de un recurso de CloudFront a otro.

Cuando un dominio está inactivo, CloudFront no responderá a las solicitudes de los lectores al dominio. Mientras el dominio esté inactivo, tenga en cuenta lo siguiente:

  • Si tiene una solicitud de certificado pendiente, CloudFront responderá a las solicitudes de la ruta conocida. Mientras la solicitud esté pendiente, el dominio no se puede asociar a ningún otro recurso de CloudFront.

  • Si no tiene una solicitud de certificado pendiente, CloudFront no responderá a las solicitudes del dominio. Puede asociar el dominio a otros recursos de CloudFront.

  • Solo puede tener una solicitud de certificado pendiente por inquilino de distribución. Antes de poder solicitar otro certificado para dominios adicionales, debe cancelar la solicitud pendiente existente. Cancelar una solicitud de certificado existente no elimina el certificado de ACM asociado. Puede eliminarlo mediante la API de ACM.

  • Si aplica un nuevo certificado al inquilino de la distribución, se desasociará el certificado anterior. Puede reutilizar el certificado para cubrir el dominio de otro inquilino de distribución.

Al igual que ocurre con las renovaciones de certificados validados por DNS, se le notificará cuando la renovación del certificado se realice correctamente. Sin embargo, no tiene que hacer nada. CloudFront administrará automáticamente la renovación del certificado del dominio.

nota

No necesita llamar a las operaciones de la API de ACM para crear o actualizar los recursos de certificados. Puede administrar los certificados mediante las operaciones de la API CreateDistributionTenant y UpdateDistributionTenant para especificar los detalles de la solicitud de certificado administrado.