Minta sertifikat untuk penyewa CloudFront distribusi Anda - Amazon CloudFront
Tambahkan domain dan sertifikat (penyewa distribusi)Pengaturan domain lengkapArahkan domain ke CloudFrontPertimbangan domain (penyewa distribusi)

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Minta sertifikat untuk penyewa CloudFront distribusi Anda

Saat Anda membuat penyewa distribusi, penyewa mewarisi sertifikat bersama AWS Certificate Manager (ACM) dari distribusi multi-penyewa. Sertifikat bersama ini menyediakan HTTPS untuk semua penyewa yang terkait dengan distribusi multi-penyewa.

Saat membuat atau memperbarui penyewa CloudFront distribusi untuk menambahkan domain, Anda dapat menambahkan CloudFront sertifikat terkelola dari ACM. CloudFront kemudian mendapatkan sertifikat yang divalidasi HTTP dari ACM atas nama Anda. Anda dapat menggunakan sertifikat ACM tingkat penyewa ini untuk konfigurasi domain kustom. CloudFront merampingkan alur kerja pembaruan untuk membantu menjaga sertifikat up-to-date dan mengamankan pengiriman konten tanpa gangguan.

catatan

Anda memiliki sertifikat, tetapi hanya dapat digunakan dengan CloudFront sumber daya dan kunci pribadi tidak dapat diekspor.

Anda dapat meminta sertifikat saat membuat atau memperbarui penyewa distribusi.

Tambahkan domain dan sertifikat (penyewa distribusi)

Prosedur berikut menunjukkan cara menambahkan domain dan memperbarui sertifikat untuk penyewa distribusi.

Untuk menambahkan domain dan sertifikat (penyewa distribusi)

  1. Masuk ke AWS Management Console dan buka CloudFront konsol dihttps://console.aws.amazon.com/cloudfront/v4/home.

  2. Di bawah SaaS, pilih Penyewa distribusi.

  3. Cari penyewa distribusi. Gunakan menu tarik-turun di bilah pencarian untuk memfilter berdasarkan domain, nama, ID distribusi, ID sertifikat, ID grup koneksi, atau ID ACL web.

  4. Pilih nama penyewa distribusi.

  5. Untuk Domain, pilih Kelola domain.

  6. Untuk Sertifikat, pilih apakah Anda menginginkan sertifikat TLS Kustom untuk penyewa distribusi Anda. Sertifikat memverifikasi apakah Anda berwenang untuk menggunakan nama domain. Sertifikat harus ada di Wilayah AS Timur (Virginia N.).

  7. Untuk Domain, pilih Tambahkan domain dan masukkan nama domain. Bergantung pada domain Anda, pesan berikut akan muncul di bawah nama domain yang Anda masukkan.

    • Domain ini dicakup oleh sertifikat.

    • Domain ini dicakup oleh sertifikat, menunggu validasi.

    • Domain ini tidak dicakup oleh sertifikat. (Ini berarti Anda harus memverifikasi kepemilikan domain.)

  8. Pilih Perbarui penyewa distribusi.

    Pada halaman detail penyewa, di bawah Domain, Anda dapat melihat bidang berikut:

    • Kepemilikan domain — Status kepemilikan domain. Sebelum CloudFront dapat menyajikan konten, kepemilikan domain Anda harus diverifikasi dengan menggunakan validasi sertifikat TLS.

    • Status DNS — Catatan DNS domain Anda harus mengarah CloudFront ke rute lalu lintas dengan benar.

  9. Jika kepemilikan domain Anda tidak diverifikasi, pada halaman detail penyewa, di bawah Domain, pilih Selesaikan pengaturan domain, lalu selesaikan prosedur berikut untuk mengarahkan catatan DNS ke nama domain Anda CloudFront .

Pengaturan domain lengkap

Ikuti prosedur ini untuk memverifikasi bahwa Anda memiliki domain untuk penyewa distribusi Anda. Tergantung pada domain Anda, pilih salah satu prosedur berikut.

catatan

Jika domain Anda sudah ditunjuk CloudFront dengan catatan alias Amazon Route 53, Anda harus menambahkan catatan DNS TXT Anda dengan _cf-challenge. di depan nama domain. Catatan TXT ini memverifikasi bahwa nama domain Anda ditautkan. CloudFront Ulangi langkah ini untuk setiap domain. Berikut ini menunjukkan cara memperbarui catatan TXT Anda:

  • Nama rekam: _cf-challenge.DomainName

  • Jenis rekaman: TXT

  • Nilai rekam: CloudFrontRoutingEndpoint

Misalnya, catatan TXT Anda mungkin terlihat seperti: _cf-challenge.example.com TXT d111111abcdef8.cloudfront.net

Anda dapat menemukan titik akhir CloudFront perutean di konsol di halaman detail penyewa distribusi atau menggunakan tindakan ListConnectionGroupsAPI di Referensi CloudFront API Amazon untuk menemukannya.

Tip

Jika Anda penyedia SaaS dan Anda ingin mengizinkan penerbitan sertifikat tanpa mengharuskan pelanggan Anda (penyewa) untuk menambahkan catatan TXT langsung ke DNS mereka, lakukan hal berikut:

  1. Jika Anda memiliki domainexample-saas-provider.com, tetapkan subdomain ke penyewa Anda, seperti customer-123.example-saas-provider.com

  2. Di DNS Anda, tambahkan catatan _cf_challenge.customer-123.example-saas-provider.com TXT d111111abcdef8.cloudfront.net TXT ke konfigurasi DNS Anda.

  3. Selanjutnya, pelanggan Anda (penyewa) kemudian dapat memperbarui catatan DNS mereka sendiri untuk memetakan nama domain mereka ke subdomain yang Anda berikan.

    www.customer-domain.com CNAME customer-123.example-saas-provider.com

I have existing traffic

Pilih opsi ini jika domain Anda tidak dapat mentolerir downtime. Anda harus memiliki akses ke origin/web server Anda. Gunakan prosedur berikut untuk memvalidasi kepemilikan domain.

Untuk menyelesaikan pengaturan domain saat Anda memiliki lalu lintas yang ada

  1. Untuk Tentukan lalu lintas web Anda, pilih Saya memiliki lalu lintas yang ada dan kemudian pilih Berikutnya.

  2. Untuk Verifikasi kepemilikan domain, pilih salah satu opsi berikut:

    • Gunakan sertifikat yang ada — Cari sertifikat ACM yang ada atau masukkan sertifikat ARN yang mencakup domain yang terdaftar.

    • Pengunggahan file manual - Pilih apakah Anda memiliki akses langsung untuk mengunggah file ke server web Anda.

      Untuk setiap domain, buat file teks biasa yang berisi token validasi Anda dari lokasi Token dan unggah ke asal Anda di jalur File yang ditentukan di server Anda yang ada. Jalur ke file ini mungkin terlihat seperti contoh berikut:/.well-known/pki-validation/acm_9c2a7b2ec0524d09fa6013efb73ad123.txt. Setelah Anda menyelesaikan langkah itu, ACM memverifikasi token dan kemudian mengeluarkan sertifikat TLS untuk domain tersebut.

    • Pengalihan HTTP - Pilih apakah Anda tidak memiliki akses langsung untuk mengunggah file ke server web Anda, atau jika Anda menggunakan layanan CDN atau proxy.

      Untuk setiap domain, buat pengalihan 301 di server yang ada. Salin jalur terkenal di bawah Redirect dari dan arahkan ke titik akhir sertifikat yang ditentukan di bawah Redirect to. Pengalihan Anda mungkin terlihat seperti contoh berikut:

      If the URL matches: example.com/.well-known/pki-validation/leabe938a4fe077b31e1ff62b781c123.txt
Then the settings are:Forwarding URL
Then 301 Permanent Redirect:To validation.us-east-1.acm-validations.aws/123456789012/.well-known/pki-validation/leabe938a4fe077b31e1ff62b781c123.txt
    catatan

    Anda dapat memilih Periksa status sertifikat untuk memverifikasi kapan ACM mengeluarkan sertifikat untuk domain.

  3. Pilih Berikutnya.

  4. Selesaikan langkah-langkahnyaArahkan domain ke CloudFront.

I don't have traffic

Pilih opsi ini jika Anda menambahkan domain baru. CloudFront akan mengelola validasi sertifikat untuk Anda.

Untuk menyelesaikan pengaturan domain jika Anda tidak memiliki lalu lintas

  1. Untuk Tentukan lalu lintas web Anda, pilih Saya belum memiliki lalu lintas.

  2. Untuk setiap nama domain, selesaikan langkah-langkahnyaArahkan domain ke CloudFront.

  3. Setelah memperbarui catatan DNS untuk setiap nama domain, pilih Berikutnya.

  4. Tunggu sertifikat dikeluarkan.

    catatan

    Anda dapat memilih Periksa status sertifikat untuk memverifikasi kapan ACM mengeluarkan sertifikat untuk domain.

  5. Pilih Kirim.

Arahkan domain ke CloudFront

Perbarui catatan DNS Anda untuk merutekan lalu lintas dari setiap domain ke titik akhir CloudFront perutean. Anda dapat memiliki beberapa nama domain, tetapi semuanya harus menyelesaikan ke titik akhir ini.

Untuk mengarahkan domain ke CloudFront

  1. Salin nilai titik akhir CloudFront perutean, seperti d111111abcdef8.cloudfront.net.

  2. Perbarui catatan DNS Anda untuk merutekan lalu lintas dari setiap domain ke titik akhir CloudFront perutean.

    1. Masuk ke registrar domain atau konsol manajemen penyedia DNS Anda.

    2. Arahkan ke bagian manajemen DNS untuk domain Anda.

      • Untuk subdomain — Buat catatan CNAME. Misalnya:

        • Nama — Subdomain Anda (seperti www atauapp)

        • Nilai/Target - Titik akhir CloudFront perutean

        • Jenis rekaman - CNAME

        • TTL - 3600 (atau apa pun yang sesuai untuk kasus penggunaan Anda)

      • Untuk apex/root domain — Ini memerlukan konfigurasi DNS yang unik, karena catatan CNAME standar tidak dapat digunakan pada tingkat domain root atau apex. Karena sebagian besar penyedia DNS tidak mendukung catatan ALIAS, sebaiknya buat catatan ALIAS di Route 53. Misalnya:

        • Nama — domain puncak Anda (sepertiexample.com)

        • Jenis rekaman - A

        • Alias - Ya

        • Target alias - Titik akhir CloudFront perutean Anda

        • Kebijakan perutean — Sederhana (atau apa pun yang sesuai untuk kasus penggunaan Anda)

    3. Verifikasi bahwa perubahan DNS telah disebarkan. (Ini biasanya terjadi ketika TTL kedaluwarsa. Terkadang bisa memakan waktu 24-48 jam.) Gunakan alat seperti dig ataunslookup.

      dig www.example.com
# Should eventually return a CNAME pointing to your CloudFront routing endpoint

  3. Kembali ke CloudFront konsol dan pilih Kirim. Saat domain Anda aktif, CloudFront perbarui status domain untuk menunjukkan bahwa domain Anda siap melayani lalu lintas.

Untuk informasi selengkapnya, lihat dokumentasi untuk penyedia DNS Anda:

Pertimbangan domain (penyewa distribusi)

Ketika domain aktif, kontrol domain telah dibuat dan CloudFront akan menanggapi semua permintaan penampil ke domain ini. Setelah diaktifkan, domain tidak dapat dinonaktifkan atau diubah menjadi status tidak aktif. Domain tidak dapat dikaitkan dengan CloudFront sumber daya lain saat sudah digunakan. Untuk mengaitkan domain dengan distribusi lain, gunakan UpdateDomainAssociationpermintaan untuk memindahkan domain dari satu CloudFront sumber daya ke sumber daya lainnya.

Ketika domain tidak aktif, tidak CloudFront akan menanggapi permintaan penampil ke domain. Meskipun domain tidak aktif, perhatikan hal berikut:

  • Jika Anda memiliki permintaan sertifikat yang tertunda, CloudFront akan menanggapi permintaan untuk jalur yang terkenal. Sementara permintaan tertunda, domain tidak dapat dikaitkan dengan CloudFront sumber daya lain.

  • Jika Anda tidak memiliki permintaan sertifikat yang tertunda, CloudFront tidak akan menanggapi permintaan untuk domain tersebut. Anda dapat mengaitkan domain dengan CloudFront sumber daya lain.

  • Anda hanya dapat memiliki satu permintaan sertifikat yang tertunda per penyewa distribusi. Sebelum Anda dapat meminta sertifikat lain untuk domain tambahan, Anda harus membatalkan permintaan tertunda yang ada. Membatalkan permintaan sertifikat yang ada tidak akan menghapus sertifikat ACM terkait. Anda dapat menghapusnya dengan menggunakan ACM API.

  • Jika Anda menerapkan sertifikat baru ke penyewa distribusi Anda, ini akan memisahkan sertifikat sebelumnya. Anda dapat menggunakan kembali sertifikat untuk menutupi domain untuk penyewa distribusi lain.

Seperti halnya perpanjangan untuk sertifikat yang divalidasi DNS, Anda akan diberi tahu ketika perpanjangan sertifikat berhasil. Namun, Anda tidak perlu melakukan hal lain. CloudFront akan mengelola perpanjangan sertifikat untuk domain Anda secara otomatis.

catatan

Anda tidak perlu memanggil operasi ACM API untuk membuat atau memperbarui sumber daya sertifikat Anda. Anda dapat mengelola sertifikat dengan menggunakan operasi CreateDistributionTenantdan UpdateDistributionTenantAPI untuk menentukan detail permintaan sertifikat terkelola Anda.