Configuration des noms de domaine alternatifs et du protocole HTTPS - Amazon CloudFront
Obtenir un SSL/TLS certificatImporter un certificat SSL/TLSMettez à jour votre CloudFront distribution

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration des noms de domaine alternatifs et du protocole HTTPS

Pour utiliser des noms de domaine alternatifs dans vos fichiers et URLs pour utiliser le protocole HTTPS entre les utilisateurs CloudFront, suivez les procédures applicables.

Obtenir un SSL/TLS certificat

Obtenez un SSL/TLS certificat si vous n'en avez pas déjà un. Pour plus d'informations, consultez la documentation pertinente :

  • Pour utiliser un certificat fourni par AWS Certificate Manager (ACM), consultez le guide de l'AWS Certificate Manager utilisateur. Passez ensuite à Mettez à jour votre CloudFront distribution.

    Note

    Nous vous recommandons d'utiliser ACM pour provisionner, gérer et déployer des SSL/TLS certificats sur des ressources AWS gérées. Vous devez demander un certificat ACM dans la région USA Est (Virginie du Nord).

  • Pour obtenir un certificat auprès d’une autorité de certification tierce, consultez la documentation fournie par l’autorité de certification. Lorsque vous avez obtenu le certificat, passez à la procédure suivante.

Importer un certificat SSL/TLS

Si vous avez obtenu votre certificat auprès d’une autorité de certification tierce, importez-le dans ACM ou chargez-le dans le magasin de certificats IAM :

ACM (recommandé)

ACM vous permet d’importer des certificats tiers à partir de la console ACM, ainsi que par programmation. Pour plus d’informations sur l’importation d’un certificat dans ACM, consultez Importation de certificats dans AWS Certificate Manager dans le Guide de l’utilisateur AWS Certificate Manager . Vous devez importer le certificat dans la région USA Est (Virginie du Nord).

Magasin de certificats IAM

(Non recommandé) Utilisez la AWS CLI commande suivante pour télécharger votre certificat tiers dans le magasin de certificats IAM.

aws iam upload-server-certificate \
        --server-certificate-name CertificateName \
        --certificate-body file://public_key_certificate_file \
        --private-key file://privatekey.pem \
        --certificate-chain file://certificate_chain_file \
        --path /cloudfront/path/

Remarques :

  • AWS compte : vous devez télécharger le certificat dans le magasin de certificats IAM en utilisant le même AWS compte que celui que vous avez utilisé pour créer votre CloudFront distribution.

  • Paramètre --path : lorsque vous chargez le certificat dans IAM, la valeur du paramètre --path (chemin du certificat) doit commencer par /cloudfront/, comme /cloudfront/production/ ou /cloudfront/test/. Le chemin doit se terminer par un caractère /.

  • Certificats existants : vous devez affecter aux paramètres --server-certificate-name et --path des valeurs différentes de celles qui sont associées aux certificats existants.

  • Utilisation de la CloudFront console — La valeur que vous spécifiez pour le --server-certificate-name paramètre dans AWS CLI, par exemplemyServerCertificate, apparaît dans la liste des certificats SSL de la CloudFront console.

  • Utilisation de l' CloudFront API — Prenez note de la chaîne alphanumérique AWS CLI renvoyée, AS1A2M3P4L5E67SIIXR3J par exemple. Il s’agit de la valeur que vous spécifierez dans l’élément IAMCertificateId. Vous n’avez pas besoin de l’ARN IAM, que renvoie également la CLI.

Pour plus d'informations sur le AWS CLI, consultez le guide de l'AWS Command Line Interface utilisateur et le manuel de référence des AWS CLI commandes.

Mettez à jour votre CloudFront distribution

Pour mettre à jour les paramètres de votre distribution, procédez comme suit :

Pour configurer votre CloudFront distribution pour les noms de domaine alternatifs

  1. Connectez-vous à la CloudFront console AWS Management Console et ouvrez-la à l'adressehttps://console.aws.amazon.com/cloudfront/v4/home.

  2. Choisissez l’ID de la distribution que vous souhaitez mettre à jour.

  3. Sous l’onglet General, choisissez Edit.

  4. Mettez à jour les valeurs suivantes :

    Nom de domaine alternatif (CNAME)

    Choisissez Ajouter un élément pour ajouter les noms de domaine alternatifs applicables. Séparez les noms de domaines par des virgules ou saisissez chaque nom de domaine sur une nouvelle ligne.

    Certificat SSL personnalisé

    Sélectionnez un certificat dans la liste déroulante.

    Jusqu’à 100 certificats sont répertoriés ici. Si vous avez plus de 100 certificats et que vous ne voyez pas le certificat que vous souhaitez ajouter, vous pouvez taper un nom ARN de certificat dans le champ pour le choisir.

    Si vous avez chargé un certificat dans le magasin de certificats IAM mais qu’il n’apparaît pas dans la liste et que vous ne pouvez pas le choisir en tapant son nom dans le champ, revoyez la procédure Importer un certificat SSL/TLS afin de vérifier si vous avez bien chargé le certificat.

    Important

    Après avoir associé votre SSL/TLS certificat à votre CloudFront distribution, ne le supprimez pas d'ACM ou du magasin de certificats IAM tant que vous n'avez pas retiré le certificat de toutes les distributions et que toutes les distributions n'ont pas été déployées.

  5. Sélectionnez Enregistrer les modifications.

  6. Configurez CloudFront pour exiger le protocole HTTPS entre les spectateurs et CloudFront :

    1. Sous l’onglet Comportements, choisissez le comportement de cache à mettre à jour, puis sélectionnez Modifier.

    2. Spécifiez l’une des valeurs suivantes pour Politique de protocole d’utilisateur :

      Redirect HTTP to HTTPS

      Les utilisateurs peuvent utiliser les deux protocoles, mais les requêtes HTTP sont automatiquement redirigées vers les requêtes HTTPS. CloudFront renvoie le code d'état HTTP 301 (Moved Permanently), ainsi que la nouvelle URL HTTPS. Le téléspectateur soumet ensuite à nouveau la demande à CloudFront l'aide de l'URL HTTPS.

      Important

      CloudFront ne redirige pas DELETEOPTIONS,PATCH,POST, ou les PUT requêtes de HTTP vers HTTPS. Si vous configurez un comportement de cache pour rediriger vers HTTPS, vous CloudFront répondez au HTTPDELETE,OPTIONS, PATCHPOST, ou aux PUT demandes relatives à ce comportement de cache avec un code d'état HTTP403 (Forbidden).

      Lorsqu'un utilisateur fait une requête HTTP qui est redirigée vers une requête HTTPS, les deux requêtes sont CloudFront facturées. Pour la requête HTTP, le montant correspond uniquement à la requête et aux en-têtes que CloudFront renvoie à l'utilisateur. Pour la requête HTTPS, le montant correspond à la requête ainsi qu’aux en-têtes et au fichier renvoyés par votre origine.

      HTTPS Only

      Les visionneuses ne peuvent accéder au contenu que si elles utilisent le protocole HTTPS. Si un utilisateur envoie une requête HTTP au lieu d'une requête HTTPS, il CloudFront renvoie le code d'état HTTP 403 (Forbidden) et ne renvoie pas le fichier.

    3. Choisissez Oui, Modifier.

    4. Répétez les étapes a à c pour chaque comportement de cache supplémentaire pour lequel vous souhaitez exiger HTTPS entre les visionneuses et CloudFront.

  7. Vérifiez les éléments suivants avant d’utiliser la configuration mise à jour dans un environnement de production :

    • Le modèle de chemin de chaque comportement de cache s’applique uniquement aux requêtes pour lesquelles vous souhaitez que les visionneuses utilisent HTTPS.

    • Les comportements de cache sont répertoriés dans l'ordre dans lequel vous voulez que CloudFront les évalue. Pour de plus amples informations, veuillez consulter Modèle de chemin d’accès.

    • Les comportements de cache acheminent les requêtes vers les origines correctes.