Utilizzo di SNI per servire le richieste HTTPS (funziona per la maggior parte dei client)Utilizzo di un indirizzo IP dedicato per servire le richieste HTTPS (funziona per tutti i client)Richiesta di autorizzazione per l’utilizzo di tre o più certificati IP SSL/TLS dedicati

Scelta del modo in cui CloudFront gestisce le richieste HTTPS

Se desideri che i visualizzatori utilizzino HTTPS e nomi di dominio alternativi per i file, scegliere una delle seguenti opzioni relative al modo in cui CloudFront deve servire le richieste HTTPS:

Utilizzare la Server Name Indication (SNI): scelta consigliata
Utilizzare un indirizzo IP dedicato in ogni edge location

Questa sezione spiega come funziona ciascuna opzione.

Utilizzo di SNI per servire le richieste HTTPS (funziona per la maggior parte dei client)

Server Name Indication (SNI) è un'estensione del protocollo TLS supportato da browser e client rilasciati dopo il 2010. Se configuri CloudFront in modo che le richieste HTTPS vengano inoltrate utilizzando la SNI, CloudFront associa il nome di dominio alternativo a un indirizzo IP per ciascuna edge location. Quando un visualizzatore invia una richiesta HTTPS per i tuoi contenuti, il DNS instrada la richiesta all'indirizzo IP per la edge location corretta. L'indirizzo IP per il nome di dominio è determinato durante la negoziazione handshake SSL/TLS (l'indirizzo IP non è dedicato alla tua distribuzione).

La negoziazione SSL/TLS avviene quasi immediatamente nel processo di stabilire una connessione HTTPS. Se CloudFront non è in grado di stabilire immediatamente per quale dominio è la richiesta, la connessione si interrompe. Quando un visualizzatore che supporta la SNI invia una richiesta HTTPS per i tuoi contenuti, ecco cosa succede:

Il visualizzatore ottiene automaticamente il nome di dominio dall’URL della richiesta e lo aggiunge all’estensione SNI del messaggio di saluto del client TLS.
Quando CloudFront riceve il saluto del client TLS, utilizza il nome di dominio nell’estensione SNI per trovare la distribuzione CloudFront corrispondente e restituisce il certificato TLS associato.
Il visualizzatore e CloudFront eseguono la negoziazione SSL/TLS.
CloudFront restituisce il contenuto richiesto al visualizzatore.

Per un elenco aggiornato dei browser che supportano la SNI, vedi la voce Wikipedia Server Name Indication.

Se desideri utilizzare la SNI ma alcuni browser degli utenti non supportano le SNI, hai diverse opzioni:

Configurare CloudFront per elaborare le richieste HTTPS utilizzando indirizzi IP dedicati invece delle SNI. Per ulteriori informazioni, consulta Utilizzo di un indirizzo IP dedicato per servire le richieste HTTPS (funziona per tutti i client).
Utilizza il certificato SSL/TLS di CloudFront invece di un certificato personalizzato. Ciò richiede l'utilizzo del nome del dominio CloudFront per la distribuzione negli URL per i file, ad esempi, https://d111111abcdef8.cloudfront.net/logo.png.

Se utilizzi l'impostazione predefinita del certificato CloudFront, i visualizzatori devono supportare il protocollo SSL TLSv1 o versioni successive. CloudFront non supporta SSLv3 con il certificato CloudFront predefinito.

È inoltre necessario modificare il certificato SSL/TLS che CloudFront sta utilizzando da certificato personalizzato a certificato CloudFront predefinito:
- Se non hai utilizzato la tua distribuzione per distribuire i contenuti, puoi modificare la configurazione. Per ulteriori informazioni, consulta Aggiornamento di una distribuzione.
- Se hai utilizzato la tua distribuzione per distribuire i contenuti, è necessario creare una nuova distribuzione CloudFront e modificare gli URL dei file per ridurre o eliminare la quantità di tempo in cui i contenuti non sono disponibili. Per ulteriori informazioni, consulta Ripristino da un certificato SSL/TLS personalizzato a un certificato CloudFront predefinito.
Se puoi verificare qual è il browser utilizzato dagli utenti, allora aggiornalo a una versione che supporta la SNI.
Utilizza HTTP anziché HTTPS.

Utilizzo di un indirizzo IP dedicato per servire le richieste HTTPS (funziona per tutti i client)

Server Name Indication (SNI) costituisce un modo per associare una richiesta a un dominio. Un altro modo consiste nell'utilizzare un indirizzo IP dedicato. Se gli utenti non sono in grado di effettuare l'aggiornamento a un browser o un client rilasciato dopo il 2010, puoi utilizzare un indirizzo IP dedicato per fornire le richieste HTTPS. Per un elenco aggiornato dei browser che supportano la SNI, vedi la voce Wikipedia Server Name Indication.

Importante

Se configuri CloudFront per servire le richieste HTTPS utilizzando indirizzi IP dedicati, è necessario pagare un'ulteriore tariffa mensile. L'addebito inizia quando associ il certificato SSL/TLS a una distribuzione e abiliti la distribuzione. Per maggiori informazioni sui prezzi di CloudFront, consulta Prezzi di Amazon CloudFront. Inoltre, fai riferimento a Using the Same Certificate for Multiple CloudFront Distributions.

Quando configuri CloudFront per servire le richieste HTTPS utilizzando indirizzi IP dedicati, CloudFront associa il certificato a un indirizzo IP dedicato in ciascuna posizione edge CloudFront. Quando un visualizzatore invia una richiesta HTTPS per i tuoi contenuti, ecco cosa succede:

DNS instrada la richiesta all'indirizzo IP della tua distribuzione nella edge location di riferimento.
Se una richiesta del client fornisce l’estensione SNI nel messaggio ClientHello, CloudFront cerca una distribuzione associata a tale SNI.
- Se viene rilevata una corrispondenza, CloudFront risponde alla richiesta con il certificato SSL/TLS.
- Se non c’è corrispondenza, CloudFront utilizza invece l’indirizzo IP per identificare la distribuzione e per stabilire quale certificato SSL/TLS restituire al visualizzatore.
Il visualizzatore e CloudFront eseguono una negoziazione SSL/TLS utilizzando il certificato SSL/TLS.
CloudFront restituisce il contenuto richiesto al visualizzatore.

Questo metodo funziona per ogni richiesta HTTPS, indipendentemente dal browser o da un altro visualizzatore che l'utente sta utilizzando.

Nota

Gli IP dedicati non sono IP statici e possono cambiare nel tempo. L’indirizzo IP restituito per la posizione edge viene allocato dinamicamente dagli intervalli di indirizzi IP dell’elenco dei server edge CloudFront.

Gli intervalli di indirizzi IP per i server edge CloudFront sono soggetti a modifiche. Per ricevere notifiche relative alle modifiche degli indirizzi IP, abbonati a modifiche dell’indirizzo IP AWS Public IP Address Changes via Amazon SNS.

Richiesta di autorizzazione per l’utilizzo di tre o più certificati IP SSL/TLS dedicati

Se hai bisogno dell'autorizzazione per associare definitivamente tre o più certificati SSL/TLS con IP dedicato a CloudFront, esegui la procedura seguente. Per ulteriori informazioni sulle richieste HTTPS, consulta Scelta del modo in cui CloudFront gestisce le richieste HTTPS.

Nota

Questa procedura è per l'utilizzo di tre o più certificati IP dedicati nelle distribuzioni CloudFront. Il valore predefinito è 2. Tieni presente che non è possibile associare più di un certificato SSL a una distribuzione.

Puoi solo associare un singolo certificato SSL/TLS a una distribuzione CloudFront alla volta. Questo numero si riferisce al numero totale di certificati SSL con IP dedicato utilizzabili in tutte le distribuzioni CloudFront.

Per richiedere l'autorizzazione per l'utilizzo di tre o più certificati con una distribuzione CloudFront

Visita il Centro di supporto e immetti una richiesta.
Indica il numero di certificati per i quali hai bisogno dell'autorizzazione all'utilizzo e descrivi le circostanze nella tua richiesta. Aggiorneremo il tuo account appena possibile.
Continua con la procedura successiva.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Utilizzo di nomi di dominio alternativi e HTTPS

Requisiti per l'utilizzo di certificati SSL/TLS con CloudFront