Demandez des certificats pour votre locataire CloudFront de distribution - Amazon CloudFront
Ajouter un domaine et un certificat (tenant de distribution)Configuration complète du domainePointer les domaines vers CloudFrontConsidérations relatives au domaine (locataire de distribution)

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Demandez des certificats pour votre locataire CloudFront de distribution

Lorsque vous créez un tenant de distribution, celui-ci hérite du certificat partagé AWS Certificate Manager (ACM) de la distribution multi-locataires. Ce certificat partagé fournit le protocole HTTPS à tous les locataires associés à la distribution multi-locataires.

Lorsque vous créez ou mettez à jour un tenant de CloudFront distribution pour ajouter des domaines, vous pouvez ajouter un CloudFront certificat géré par ACM. CloudFront obtient ensuite un certificat validé par HTTP auprès d'ACM en votre nom. Vous pouvez utiliser ce certificat ACM au niveau du locataire pour des configurations de domaine personnalisées. CloudFront rationalise le processus de renouvellement afin de garantir la continuité des certificats up-to-date et de garantir la diffusion de contenu.

Note

Le certificat vous appartient, mais il ne peut être utilisé qu'avec CloudFront des ressources et la clé privée ne peut pas être exportée.

Vous pouvez demander le certificat lorsque vous créez ou mettez à jour le locataire de distribution.

Ajouter un domaine et un certificat (tenant de distribution)

La procédure suivante explique comment ajouter un domaine et mettre à jour le certificat d'un locataire de distribution.

Pour ajouter un domaine et un certificat (tenant de distribution)

  1. Connectez-vous à la CloudFront console AWS Management Console et ouvrez-la à l'adressehttps://console.aws.amazon.com/cloudfront/v4/home.

  2. Dans la section SaaS, choisissez Distribution tenants.

  3. Recherchez le locataire de distribution. Utilisez le menu déroulant de la barre de recherche pour filtrer par domaine, nom, ID de distribution, ID de certificat, ID de groupe de connexion ou ID ACL Web.

  4. Choisissez le nom du locataire de distribution.

  5. Pour les domaines, choisissez Gérer le domaine.

  6. Pour Certificat, choisissez si vous souhaitez un certificat TLS personnalisé pour votre locataire de distribution. Le certificat vérifie si vous êtes autorisé à utiliser le nom de domaine. Le certificat doit exister dans la région de l'est des États-Unis (Virginie du Nord).

  7. Pour Domaines, choisissez Ajouter un domaine et entrez le nom du domaine. En fonction de votre domaine, les messages suivants apparaîtront sous le nom de domaine que vous avez saisi.

    • Ce domaine est couvert par le certificat.

    • Ce domaine est couvert par le certificat, en attente de validation.

    • Ce domaine n'est pas couvert par un certificat. (Cela signifie que vous devez vérifier la propriété du domaine.)

  8. Choisissez Mettre à jour le locataire de distribution.

    Sur la page des détails du locataire, sous Domaines, vous pouvez voir les champs suivants :

    • Propriété du domaine : statut de la propriété du domaine. Avant de CloudFront pouvoir diffuser du contenu, la propriété de votre domaine doit être vérifiée à l'aide de la validation du certificat TLS.

    • État du DNS : les enregistrements DNS de votre domaine doivent pointer CloudFront vers pour acheminer correctement le trafic.

  9. Si la propriété de votre domaine n'est pas vérifiée, sur la page des détails du locataire, sous Domaines, sélectionnez Terminer la configuration du domaine, puis suivez la procédure suivante pour faire pointer l'enregistrement DNS vers votre nom de CloudFront domaine.

Configuration complète du domaine

Suivez ces procédures pour vérifier que vous êtes le propriétaire du domaine de vos locataires de distribution. En fonction de votre domaine, choisissez l'une des procédures suivantes.

Note

Si votre domaine est déjà pointé CloudFront par un enregistrement d'alias Amazon Route 53, vous devez ajouter votre enregistrement DNS TXT _cf-challenge. devant le nom de domaine. Cet enregistrement TXT vérifie que votre nom de domaine est lié à CloudFront. Répétez cette étape pour chaque domaine. Voici comment mettre à jour votre enregistrement TXT :

  • Nom de l'enregistrement : _cf-challenge.DomainName

  • Type d'enregistrement : TXT

  • Valeur d'enregistrement : CloudFrontRoutingEndpoint

Par exemple, votre enregistrement TXT peut ressembler à ceci : _cf-challenge.example.com TXT d111111abcdef8.cloudfront.net

Vous pouvez trouver votre point de terminaison de CloudFront routage dans la console sur la page détaillée du locataire de distribution ou utiliser l'action ListConnectionGroupsAPI dans le Amazon CloudFront API Reference pour le trouver.

Astuce

Si vous êtes un fournisseur de SaaS et que vous souhaitez autoriser l'émission de certificats sans obliger vos clients (locataires) à ajouter un enregistrement TXT directement à leur DNS, procédez comme suit :

  1. Si vous êtes propriétaire du domaineexample-saas-provider.com, attribuez des sous-domaines à vos locataires, tels que customer-123.example-saas-provider.com

  2. Dans votre DNS, ajoutez l'enregistrement _cf_challenge.customer-123.example-saas-provider.com TXT d111111abcdef8.cloudfront.net TXT à votre configuration DNS.

  3. Vos clients (les locataires) peuvent ensuite mettre à jour leur propre enregistrement DNS pour mapper leur nom de domaine au sous-domaine que vous avez fourni.

    www.customer-domain.com CNAME customer-123.example-saas-provider.com

I have existing traffic

Sélectionnez cette option si votre domaine ne tolère pas les interruptions de service. Vous devez avoir accès à votre origin/web serveur. Utilisez la procédure suivante pour valider la propriété du domaine.

Pour terminer la configuration du domaine lorsque vous avez du trafic existant

  1. Pour Spécifier votre trafic Web, sélectionnez J'ai du trafic existant, puis cliquez sur Suivant.

  2. Pour vérifier la propriété du domaine, choisissez l'une des options suivantes :

    • Utiliser un certificat existant : recherchez un certificat ACM existant ou entrez l'ARN du certificat qui couvre les domaines répertoriés.

    • Téléchargement manuel de fichiers — Choisissez si vous avez un accès direct pour télécharger des fichiers sur votre serveur Web.

      Pour chaque domaine, créez un fichier texte brut contenant votre jeton de validation à partir de l'emplacement du jeton et téléchargez-le sur votre origine au chemin de fichier spécifié sur votre serveur existant. Le chemin d'accès à ce fichier peut ressembler à l'exemple suivant : /.well-known/pki-validation/acm_9c2a7b2ec0524d09fa6013efb73ad123.txt Une fois cette étape terminée, ACM vérifie le jeton, puis émet le certificat TLS pour le domaine.

    • Redirection HTTP : choisissez si vous n'avez pas d'accès direct pour télécharger des fichiers sur votre serveur Web ou si vous utilisez un CDN ou un service proxy.

      Pour chaque domaine, créez une redirection 301 sur votre serveur existant. Copiez le chemin connu sous Rediriger depuis et pointez vers le point de terminaison du certificat spécifié sous Rediriger vers. Votre redirection peut ressembler à l'exemple suivant :

      If the URL matches: example.com/.well-known/pki-validation/leabe938a4fe077b31e1ff62b781c123.txt
Then the settings are:Forwarding URL
Then 301 Permanent Redirect:To validation.us-east-1.acm-validations.aws/123456789012/.well-known/pki-validation/leabe938a4fe077b31e1ff62b781c123.txt
    Note

    Vous pouvez choisir Vérifier l'état du certificat pour vérifier quand ACM émet le certificat pour le domaine.

  3. Choisissez Suivant.

  4. Suivez les étapes pourPointer les domaines vers CloudFront.

I don't have traffic

Sélectionnez cette option si vous ajoutez de nouveaux domaines. CloudFront gérera la validation des certificats pour vous.

Pour terminer la configuration du domaine si vous n'avez pas de trafic

  1. Pour Spécifier votre trafic Web, choisissez Je n'ai pas encore de trafic.

  2. Pour chaque nom de domaine, suivez les étapes dePointer les domaines vers CloudFront.

  3. Après avoir mis à jour vos enregistrements DNS pour chaque nom de domaine, choisissez Next.

  4. Attendez que le certificat soit émis.

    Note

    Vous pouvez choisir Vérifier l'état du certificat pour vérifier quand ACM émet le certificat pour le domaine.

  5. Sélectionnez Envoyer.

Pointer les domaines vers CloudFront

Mettez à jour vos enregistrements DNS pour acheminer le trafic de chaque domaine vers le point de terminaison CloudFront de routage. Vous pouvez avoir plusieurs noms de domaine, mais ils doivent tous être liés à ce point de terminaison.

Pour pointer des domaines vers CloudFront

  1. Copiez la valeur du point CloudFront de terminaison de routage, telle que d111111abcdef8.cloudfront.net.

  2. Mettez à jour vos enregistrements DNS pour acheminer le trafic de chaque domaine vers le point de terminaison CloudFront de routage.

    1. Connectez-vous à votre bureau d'enregistrement de domaines ou à la console de gestion de votre fournisseur DNS.

    2. Accédez à la section de gestion DNS de votre domaine.

      • Pour les sous-domaines : créez un enregistrement CNAME. Par exemple :

        • Nom — Votre sous-domaine (tel que www ouapp)

        • Value/Target — Le point de terminaison du CloudFront routage

        • Type d'enregistrement — CNAME

        • TTL — 3600 (ou ce qui convient à votre cas d'utilisation)

      • Pour les apex/root domaines : cela nécessite une configuration DNS unique, car les enregistrements CNAME standard ne peuvent pas être utilisés au niveau du domaine racine ou apex. Étant donné que la plupart des fournisseurs DNS ne prennent pas en charge les enregistrements ALIAS, nous vous recommandons de créer un enregistrement ALIAS dans Route 53. Par exemple :

        • Nom — Votre domaine apex (tel queexample.com)

        • Type d'enregistrement — A

        • Alias — Oui

        • Alias cible : votre point de terminaison CloudFront de routage

        • Politique de routage — Simple (ou selon ce qui convient à votre cas d'utilisation)

    3. Vérifiez que la modification DNS s'est propagée. (Cela se produit généralement lorsque le TTL est expiré. Parfois, cela peut prendre 24 à 48 heures.) Utilisez un outil tel que dig ounslookup.

      dig www.example.com
# Should eventually return a CNAME pointing to your CloudFront routing endpoint

  3. Retournez à la CloudFront console et choisissez Soumettre. Lorsque votre domaine est actif, CloudFront met à jour le statut du domaine pour indiquer qu'il est prêt à recevoir du trafic.

Pour plus d'informations, consultez la documentation de votre fournisseur DNS :

Considérations relatives au domaine (locataire de distribution)

Lorsqu'un domaine est actif, le contrôle du domaine a été établi et CloudFront répond à toutes les demandes des utilisateurs concernant ce domaine. Une fois activé, un domaine ne peut pas être désactivé ou remplacé par un statut inactif. Le domaine ne peut pas être associé à une autre CloudFront ressource lorsqu'il est déjà utilisé. Pour associer le domaine à une autre distribution, utilisez la UpdateDomainAssociationdemande pour déplacer le domaine d'une CloudFront ressource à l'autre.

Lorsqu'un domaine est inactif, il CloudFront ne répond pas aux demandes des utilisateurs adressées au domaine. Lorsque le domaine est inactif, notez ce qui suit :

  • Si vous avez une demande de certificat en attente, CloudFront répondra aux demandes concernant le chemin connu. Tant que la demande est en attente, le domaine ne peut être associé à aucune autre CloudFront ressource.

  • Si aucune demande de certificat n'est en attente, je CloudFront ne répondrai pas aux demandes concernant le domaine. Vous pouvez associer le domaine à d'autres CloudFront ressources.

  • Vous ne pouvez avoir qu'une seule demande de certificat en attente par locataire de distribution. Avant de pouvoir demander un autre certificat pour des domaines supplémentaires, vous devez annuler la demande en attente existante. L'annulation d'une demande de certificat existante ne supprime pas le certificat ACM associé. Vous pouvez le supprimer à l'aide de l'API ACM.

  • Si vous appliquez un nouveau certificat à votre locataire de distribution, le certificat précédent sera dissocié. Vous pouvez réutiliser le certificat pour couvrir le domaine d'un autre locataire de distribution.

Comme pour les renouvellements de certificats validés par le DNS, vous serez averti lorsque le renouvellement du certificat sera réussi. Cependant, vous n'avez rien d'autre à faire. CloudFront gérera automatiquement le renouvellement des certificats pour votre domaine.

Note

Vous n'avez pas besoin d'appeler les opérations de l'API ACM pour créer ou mettre à jour vos ressources de certificats. Vous pouvez gérer vos certificats à l'aide des opérations CreateDistributionTenantet de UpdateDistributionTenantl'API pour spécifier les détails de votre demande de certificat géré.