Demandez des certificats pour votre locataire CloudFront de distribution - Amazon CloudFront
Ajout d’un domaine et d’un certificat (locataire de distribution)Configuration complète du domainePointer les domaines vers CloudFrontConsidérations relatives au domaine (locataire de distribution)Domaines génériques (locataire de distribution)

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Demandez des certificats pour votre locataire CloudFront de distribution

Lorsque vous créez un tenant de distribution, celui-ci hérite du certificat partagé AWS Certificate Manager (ACM) de la distribution multi-locataires. Ce certificat partagé fournit le protocole HTTPS à tous les locataires associés à la distribution multi-locataires.

Lorsque vous créez ou mettez à jour un tenant de CloudFront distribution pour ajouter des domaines, vous pouvez ajouter un CloudFront certificat géré par ACM. CloudFront obtient ensuite un certificat validé par HTTP auprès d'ACM en votre nom. Vous pouvez utiliser ce certificat ACM au niveau du locataire pour des configurations de domaine personnalisées. CloudFront rationalise le processus de renouvellement afin de garantir la continuité des certificats up-to-date et de garantir la diffusion de contenu.

Note

Le certificat vous appartient, mais il ne peut être utilisé qu'avec CloudFront des ressources et la clé privée ne peut pas être exportée.

Vous pouvez demander le certificat lorsque vous créez ou mettez à jour le locataire de distribution.

Ajout d’un domaine et d’un certificat (locataire de distribution)

La procédure suivante vous indique comment ajouter un domaine et mettre à jour le certificat d’un locataire de distribution.

Pour ajouter un domaine et un certificat (locataire de distribution)

  1. Connectez-vous à la CloudFront console AWS Management Console et ouvrez-la à l'adressehttps://console.aws.amazon.com/cloudfront/v4/home.

  2. Dans SaaS, choisissez Locataires de distribution.

  3. Recherchez le locataire de distribution. Utilisez le menu déroulant de la barre de recherche pour filtrer par domaine, nom, ID de distribution, ID de certificat, ID de groupe de connexions ou ID de liste ACL Web.

  4. Choisissez le nom du locataire de distribution.

  5. Pour domaines, choisissez Gérer le domaine.

  6. Pour Certificat, choisissez si vous souhaitez utiliser un certificat TLS personnalisé pour votre locataire de distribution. Le certificat vérifie si vous êtes autorisé à utiliser le nom de domaine. Le certificat doit exister dans la région USA Est (Virginie du Nord).

  7. Pour Domaines, choisissez Ajouter un domaine et entrez le domaine. En fonction de votre domaine, les messages suivants apparaîtront sous le nom de domaine que vous avez saisi.

    • Ce domaine est couvert par le certificat.

    • Ce domaine est couvert par le certificat, en attente de validation.

    • Ce domaine n’est pas couvert par le certificat. (Autrement dit, vous devez vérifier la propriété du domaine.)

  8. Choisissez Mettre à jour le locataire de distribution.

    Sur la page des détails du locataire, sous Domaines, les champs suivants sont affichés :

    • Propriété du domaine : état de la propriété du domaine. Avant de CloudFront pouvoir diffuser du contenu, la propriété de votre domaine doit être vérifiée à l'aide de la validation du certificat TLS.

    • État du DNS : les enregistrements DNS de votre domaine doivent pointer CloudFront vers pour acheminer correctement le trafic.

  9. Si la propriété de votre domaine n'est pas vérifiée, sur la page des détails du locataire, sous Domaines, sélectionnez Terminer la configuration du domaine, puis suivez la procédure suivante pour faire pointer l'enregistrement DNS vers votre nom de CloudFront domaine.

Configuration complète du domaine

Suivez ces procédures pour vérifier que vous êtes le propriétaire du domaine de vos locataires de distribution. Choisissez l’une des procédures suivantes en fonction de votre domaine.

Note

Si votre domaine est déjà pointé CloudFront par un enregistrement d'alias Amazon Route 53, vous devez ajouter votre enregistrement DNS TXT _cf-challenge. devant le nom de domaine. Cet enregistrement TXT vérifie que votre nom de domaine est lié à CloudFront. Répétez cette étape pour chaque domaine. L’exemple suivant montre comment mettre à jour votre enregistrement TXT :

  • Nom de l’enregistrement : _cf-challenge.DomainName

  • Type d’enregistrement : TXT

  • Valeur de l’enregistrement : CloudFrontRoutingEndpoint

Votre enregistrement TXT pourrait, par exemple, se présenter ainsi : _cf-challenge.example.com TXT d111111abcdef8.cloudfront.net

Vous pouvez trouver votre point de terminaison de CloudFront routage dans la console sur la page détaillée du locataire de distribution ou utiliser l'action ListConnectionGroupsAPI dans le Amazon CloudFront API Reference pour le trouver.

Astuce

Si vous êtes un fournisseur de SaaS et que vous souhaitez autoriser l’émission de certificats sans obliger vos clients (locataires) à ajouter un enregistrement TXT directement à leur DNS, procédez comme suit :

  1. Si vous êtes propriétaire du domaine example-saas-provider.com, attribuez des sous-domaines à vos locataires, tels que customer-123.example-saas-provider.com

  2. Dans votre DNS, ajoutez l’enregistrement TXT _cf-challenge.customer-123.example-saas-provider.com TXT d111111abcdef8.cloudfront.net à votre configuration DNS.

  3. Vos clients (les locataires) peuvent ensuite mettre à jour leur propre enregistrement DNS pour mapper leur nom de domaine au sous-domaine que vous avez fourni.

    www.customer-domain.com CNAME customer-123.example-saas-provider.com

I have existing traffic

Sélectionnez cette option si votre domaine ne tolère pas les durées d’indisponibilité. Vous devez avoir accès à votre origin/web serveur. Suivez la procédure suivante pour valider la propriété du domaine.

Pour terminer la configuration du domaine lorsque votre domaine reçoit déjà du trafic

  1. Pour Spécifier votre trafic Web, sélectionnez Mon domaine reçoit déjà du trafic, puis cliquez sur Suivant.

  2. Pour Vérifier la propriété du domaine, choisissez l’une des options suivantes :

    • Utiliser un certificat existant : recherchez un certificat ACM existant ou entrez l’ARN du certificat qui couvre les domaines répertoriés.

    • Téléchargement manuel de fichiers : indiquez si vous pouvez téléverser des fichiers directement sur votre serveur web.

      Pour chaque domaine, créez un fichier en texte brut contenant votre jeton de validation à partir de l’emplacement du jeton, puis transférez-le vers votre origine à l’aide du Chemin de fichier spécifié sur votre serveur existant. Le chemin vers ce fichier peut ressembler à l’exemple suivant : /.well-known/pki-validation/acm_9c2a7b2ec0524d09fa6013efb73ad123.txt. Une fois cette étape terminée, ACM vérifie le jeton, puis émet le certificat TLS pour le domaine.

    • Redirection HTTP : choisissez cette option si vous n’avez pas d’accès direct pour télécharger des fichiers sur votre serveur web, ou si vous utilisez un CDN ou un service de proxy.

      Pour chaque domaine, créez une redirection 301 sur votre serveur existant. Copiez le chemin well-known dans Rediriger depuis et pointez vers le point de terminaison du certificat spécifié dans Rediriger vers. Votre redirection peut ressembler à l’exemple suivant :

      If the URL matches: example.com/.well-known/pki-validation/leabe938a4fe077b31e1ff62b781c123.txt
Then the settings are:Forwarding URL
Then 301 Permanent Redirect:To validation.us-east-1.acm-validations.aws/123456789012/.well-known/pki-validation/leabe938a4fe077b31e1ff62b781c123.txt
    Note

    Vous pouvez choisir Vérifier l’état du certificat pour savoir à quel moment ACM émet le certificat pour le domaine.

  3. Choisissez Suivant.

  4. Terminez la procédure indiquée dans Pointer les domaines vers CloudFront.

I don't have traffic

Sélectionnez cette option si vous ajoutez de nouveaux domaines. CloudFront gérera la validation des certificats pour vous.

Pour terminer la configuration du domaine lorsque votre domaine ne reçoit pas encore de trafic

  1. Pour Spécifier votre trafic Web, choisissez Mon domaine ne reçoit pas encore de trafic.

  2. Pour chaque nom de domaine, suivez la procédure indiquée dans Pointer les domaines vers CloudFront.

  3. Après avoir mis à jour vos enregistrements DNS pour chaque nom de domaine, choisissez Suivant.

  4. Patientez jusqu’à l’émission du certificat.

    Note

    Vous pouvez choisir Vérifier l’état du certificat pour savoir à quel moment ACM émet le certificat pour le domaine.

  5. Cliquez sur Envoyer.

Pointer les domaines vers CloudFront

Mettez à jour vos enregistrements DNS pour acheminer le trafic de chaque domaine vers le point de terminaison CloudFront de routage. Vous pouvez utiliser plusieurs noms de domaine, mais ils doivent tous pointer vers ce point de terminaison.

Pour pointer des domaines vers CloudFront

  1. Copiez la valeur du point CloudFront de terminaison de routage, telle que d111111abcdef8.cloudfront.net.

  2. Mettez à jour vos enregistrements DNS pour acheminer le trafic de chaque domaine vers le point de terminaison CloudFront de routage.

    1. Connectez-vous à votre registre de domaine ou à la console de gestion de votre fournisseur DNS.

    2. Accédez à la section de gestion DNS correspondant à votre domaine.

      • Pour les sous-domaines : créez un enregistrement CNAME. Par exemple :

        • Nom : votre sous-domaine (tel que www ou app)

        • Value/Target — Le point de terminaison du CloudFront routage

        • Type d’enregistrement : CNAME

        • TTL : 3600 (ou ce qui convient à votre cas d’utilisation)

      • Pour les apex/root domaines : cela nécessite une configuration DNS unique, car les enregistrements CNAME standard ne peuvent pas être utilisés au niveau du domaine racine ou apex. Étant donné que la plupart des fournisseurs DNS ne prennent pas en charge les enregistrements ALIAS, nous vous recommandons de créer un enregistrement ALIAS dans Route 53. Par exemple :

        • Nom : votre domaine apex (tel que example.com)

        • Type d’enregistrement : A

        • Alias : oui

        • Alias cible : votre point de terminaison CloudFront de routage

        • Stratégie de routage : Simple (ou selon ce qui convient à votre cas d’utilisation)

    3. Vérifiez que la modification DNS s’est bien propagée. (Cela se produit généralement lorsque le TTL est expiré. Parfois, la propagation peut prendre de 24 à 48 heures.) Utilisez un outil tel que dig ou nslookup.

      dig www.example.com
# Should eventually return a CNAME pointing to your CloudFront routing endpoint

  3. Retournez à la CloudFront console et choisissez Soumettre. Lorsque votre domaine est actif, CloudFront met à jour le statut du domaine pour indiquer qu'il est prêt à recevoir du trafic.

Pour plus d’informations, consultez la documentation de votre fournisseur DNS :

Considérations relatives au domaine (locataire de distribution)

Lorsqu'un domaine est actif, le contrôle du domaine a été établi et CloudFront répond à toutes les demandes des utilisateurs concernant ce domaine. Une fois activé, un domaine ne peut pas être désactivé ou remplacé par un état inactif. Le domaine ne peut pas être associé à une autre CloudFront ressource lorsqu'il est déjà utilisé. Pour associer le domaine à une autre distribution, utilisez la UpdateDomainAssociationdemande pour déplacer le domaine d'une CloudFront ressource à l'autre.

Lorsqu'un domaine est inactif, il CloudFront ne répond pas aux demandes des utilisateurs adressées au domaine. Si le domaine est inactif, tenez compte des éléments suivants :

  • Si vous avez une demande de certificat en attente, CloudFront répondra aux demandes concernant le chemin connu. Tant que la demande est en attente, le domaine ne peut être associé à aucune autre CloudFront ressource.

  • Si aucune demande de certificat n'est en attente, je CloudFront ne répondrai pas aux demandes concernant le domaine. Vous pouvez associer le domaine à d'autres CloudFront ressources.

  • Vous ne pouvez avoir qu’une seule demande de certificat en attente par locataire de distribution. Pour demander un nouveau certificat couvrant d’autres domaines, vous devez d’abord annuler la demande en attente. L’annulation d’une demande de certificat existante ne supprime pas le certificat ACM associé. Vous pouvez le supprimer avec l’API ACM.

  • Si vous appliquez un nouveau certificat à votre locataire de distribution, le certificat précédent sera dissocié. Vous pouvez réutiliser le certificat pour couvrir le domaine d’un autre locataire de distribution.

Comme pour les renouvellements des certificats validés par DNS, vous serez averti lorsque le renouvellement du certificat aura réussi. Cependant, vous n'avez rien d'autre à faire. CloudFront gérera automatiquement le renouvellement des certificats pour votre domaine.

Note

Vous n’avez pas besoin d’appeler les opérations de l’API ACM pour créer ou mettre à jour vos ressources de certificats. Vous pouvez gérer vos certificats à l'aide des opérations CreateDistributionTenantet de UpdateDistributionTenantl'API pour spécifier les détails de votre demande de certificat géré.

Domaines génériques (locataire de distribution)

Les domaines génériques sont pris en charge pour les locataires de distribution dans les situations suivantes :

  • Lorsque le domaine générique figure dans le certificat partagé hérité de la distribution parente multi-locataires

  • Lorsque vous utilisez un certificat TLS personnalisé valide pour votre locataire de distribution