Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Exigences relatives à l'utilisation de certificats SSL/TLS avec CloudFront
Les exigences relatives à l’utilisation des certificats SSL/TLS sont décrites dans cette rubrique. Elles s’appliquent, sauf indication contraire, aux deux certificats suivants :
-
Certificats pour l'utilisation du protocole HTTPS entre les utilisateurs et CloudFront
-
Certificats pour l'utilisation du protocole HTTPS entre CloudFront et votre origine
Auteur du certificat
Nous vous recommandons d'utiliser un certificat public émis par AWS Certificate Manager (ACM).us-east-1).
CloudFront prend en charge les mêmes autorités de certification (CAs) que Mozilla. Par conséquent, si vous n'utilisez pas ACM, utilisez un certificat émis par une autorité de certification figurant sur la liste des certificats d'autorité de certification inclus par Mozilla
Région AWS pour AWS Certificate Manager
Pour utiliser un certificat dans AWS Certificate Manager (ACM) afin d'exiger le protocole HTTPS entre les utilisateursCloudFront, assurez-vous de demander (ou d'importer) le certificat dans la région de l'est des États-Unis (Virginie du Nord) (us-east-1).
Si vous souhaitez exiger le protocole HTTPS entre CloudFront et votre origine, et que vous utilisez un équilibreur de charge dans Elastic Load Balancing comme origine, vous pouvez demander ou importer le certificat dans n'importe quel Région AWS type de certificat.
Format du certificat
Le certificat doit être au format PEM X.509. Il s’agit du format par défaut si vous utilisez AWS Certificate Manager.
Certificats intermédiaires
Si vous utilisez une autorité de certification tierce, indiquez tous les certificats intermédiaires dans la chaîne de certificats du fichier .pem, en commençant par celui de l’autorité de certification qui a signé le certificat de votre domaine. En règle générale, vous trouverez sur le site web de votre autorité de certification un fichier répertoriant les certificats racines et intermédiaires dans l’ordre approprié pour la chaîne.
Important
N’incluez par les éléments suivants : le certificat racine, les certificats intermédiaires non approuvés ou le certificat de la clé publique de votre autorité de certification.
Voici un exemple :
-----BEGIN CERTIFICATE-----Intermediate certificate 2-----END CERTIFICATE----- -----BEGIN CERTIFICATE-----Intermediate certificate 1-----END CERTIFICATE-----
Type de clé
CloudFront prend en charge les paires de clés publiques-privées RSA et ECDSA.
CloudFront prend en charge les connexions HTTPS aux utilisateurs et aux origines à l'aide de certificats RSA et ECDSA. Avec AWS Certificate Manager
(ACM)
Pour obtenir la liste des chiffrements RSA et ECDSA pris en charge par ces protocoles CloudFront que vous pouvez négocier dans le cadre de connexions HTTPS, consultez et. Protocoles et chiffrements pris en charge entre les utilisateurs et CloudFront Protocoles et chiffrements pris en charge entre CloudFront et l'origine
Clé privée
Si vous utilisez un certificat d’une autorité de certification tierce, notez les points suivants :
-
La clé privée doit correspondre à la clé publique qui se trouve dans le certificat.
-
La clé privée doit être au format PEM.
-
La clé privée ne peut pas être chiffrée avec un mot de passe.
Si AWS Certificate Manager (ACM) a fourni le certificat, ACM ne libère pas la clé privée. La clé privée est stockée dans ACM pour être utilisée par les AWS services intégrés à ACM.
Autorisations
Vous devez avoir l’autorisation d’utiliser et d’importer le certificat SSL/TLS. Si vous utilisez AWS Certificate Manager (ACM), nous vous recommandons d'utiliser AWS Identity and Access Management des autorisations pour restreindre l'accès aux certificats. Pour plus d’informations, consultez see Identity and Access Management dans le Guide de l’utilisateur AWS Certificate Manager .
Taille de la clé de certificat
La taille de clé de certificat CloudFront prise en charge dépend du type de clé et de certificat.
- Pour les certificats RSA :
-
CloudFront prend en charge les clés RSA 1024 bits, 2048 bits, 3072 bits et 4096 bits. La longueur de clé maximale pour un certificat RSA que vous utilisez CloudFront est de 4 096 bits.
Notez qu'ACM émet des certificats RSA avec des clés allant jusqu'à 2 048 bits. Pour utiliser un certificat RSA 3072 bits ou 4096 bits, vous devez obtenir le certificat en externe et l'importer dans ACM, après quoi vous pourrez l'utiliser. CloudFront
Pour en savoir plus sur la façon de déterminer la taille d’une clé RSA, consultez Déterminer la taille de la clé publique dans un certificat SSL/TLS RSA.
- Pour les certificats ECDSA :
-
CloudFront prend en charge les clés 256 bits. Pour utiliser un certificat ECDSA dans ACM afin d'exiger le protocole HTTPS entre les utilisateurs CloudFront, utilisez la courbe elliptique prime256v1.
Types de certificats pris en charge
CloudFront prend en charge tous les types de certificats émis par une autorité de certification fiable.
Date d’expiration de certificat et renouvellement
Si vous utilisez des certificats obtenus auprès d'une autorité de certification (CA) tierce, vous devez surveiller les dates d'expiration des certificats et renouveler les certificats que vous importez dans AWS Certificate Manager (ACM) ou que vous téléchargez dans le magasin de AWS Identity and Access Management certificats avant leur expiration.
Important
Pour éviter les problèmes d'expiration des certificats, renouvelez ou réimportez votre certificat au moins 24 heures avant la NotAfter valeur de votre certificat actuel. Si votre certificat expire dans les 24 heures, demandez un nouveau certificat à ACM ou importez-en un nouveau dans ACM. Associez ensuite le nouveau certificat à la CloudFront distribution.
CloudFront peut continuer à utiliser le certificat précédent pendant que le renouvellement ou la réimportation de votre certificat est en cours. Il s'agit d'un processus asynchrone qui peut prendre jusqu'à 24 heures avant que vos modifications ne CloudFront soient affichées.
Si vous utilisez des certificats fournis par ACM, ACM gère les renouvellements de certificats pour vous. Pour plus d'informations, consultez Renouvellement géré dans le Guide de l'utilisateur AWS Certificate Manager .
Noms de domaine dans la CloudFront distribution et dans le certificat
Lorsque vous utilisez une origine personnalisée, le certificat SSL/TLS associé à votre origine inclut un nom de domaine dans le champ Nom commun, et éventuellement plusieurs autres dans le champ Noms alternatifs du sujet. (CloudFront prend en charge les caractères génériques dans les noms de domaine des certificats.)
L’un des noms de domaines du certificat doit correspondre au nom de domaine spécifié pour le nom du domaine d’origine. Si aucun nom de domaine ne correspond, CloudFront renvoie le code 502 (Bad Gateway) d'état HTTP au lecteur.
Important
Lorsque vous ajoutez un autre nom de domaine à une distribution, CloudFront vérifiez que le nom de domaine alternatif est couvert par le certificat que vous avez joint. Le certificat doit couvrir le nom de domaine alternatif dans le champ SAN du certificat. Cela signifie que le champ SAN doit contenir une correspondance exacte pour le nom de domaine alternatif ou un caractère générique au même niveau que le nom de domaine alternatif que vous ajoutez.
Pour de plus amples informations, veuillez consulter Exigences relatives à l’utilisation de noms de domaines alternatifs.
Version minimale du protocole SSL/TLS
Si vous utilisez des adresses IP dédiées, définissez la version minimale du protocole SSL/TLS pour la connexion entre les utilisateurs et choisissez une politique CloudFront de sécurité.
Pour plus d’informations, consultez Politique de sécurité (version SSL/TLS minimale) dans la rubrique Référence à tous les paramètres de distribution.
Versions de HTTP prises en charge
Si vous associez un certificat à plusieurs CloudFront distributions, toutes les distributions associées au certificat doivent utiliser la même option pourVersions de HTTP prises en charge. Vous spécifiez cette option lorsque vous créez ou mettez à jour une CloudFront distribution.
