Richiedi i certificati per il tuo tenant CloudFront di distribuzione - Amazon CloudFront
Aggiunta di un dominio e di un certificato (tenant di distribuzione)Configurazione completa del dominioIndirizza i domini a CloudFrontConsiderazioni sul dominio (tenant di distribuzione)Domini con carattere jolly (tenant di distribuzione)

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Richiedi i certificati per il tuo tenant CloudFront di distribuzione

Quando crei un tenant di distribuzione, il tenant eredita il certificato condiviso AWS Certificate Manager (ACM) dalla distribuzione multi-tenant. Questo certificato condiviso fornisce HTTPS per tutti i tenant associati alla distribuzione multi-tenant.

Quando si crea o si aggiorna un tenant di CloudFront distribuzione per aggiungere domini, è possibile aggiungere un certificato gestito da ACM. CloudFront CloudFront ottiene quindi un certificato convalidato HTTP da ACM per tuo conto. Puoi utilizzare questo certificato ACM a livello di tenant per configurazioni di dominio personalizzate. CloudFront semplifica il flusso di lavoro di rinnovo per aiutare a mantenere i certificati up-to-date e la distribuzione sicura dei contenuti senza interruzioni.

Nota

Il certificato è di tua proprietà, ma può essere utilizzato solo con CloudFront risorse e la chiave privata non può essere esportata.

Puoi richiedere il certificato quando crei o aggiorni il tenant di distribuzione.

Aggiunta di un dominio e di un certificato (tenant di distribuzione)

Nella procedura seguente viene illustrato come aggiungere un dominio e aggiornare il certificato per un tenant di distribuzione.

Come aggiungere un dominio e un certificato (tenant di distribuzione)

  1. Accedi a Console di gestione AWS e apri la CloudFront console all'indirizzohttps://console.aws.amazon.com/cloudfront/v4/home.

  2. In SaaS, scegli Tenant di distribuzione.

  3. Cerca il tenant di distribuzione. Utilizza il menu a discesa nella barra di ricerca per filtrare per dominio, nome, ID distribuzione, ID certificato, ID gruppo di connessioni o ID ACL Web.

  4. Scegli il nome del tenant di distribuzione.

  5. Per Domini, scegli Gestisci dominio.

  6. Per Certificato, scegli se utilizzare un certificato TLS personalizzato per il tenant di distribuzione. Il certificato verifica se disponi dell’autorizzazione per utilizzare il nome di dominio. Il certificato deve esistere nella regione Stati Uniti orientali (Virginia settentrionale).

  7. Per Domini, scegli Aggiungi dominio e inserisci il nome di dominio. A seconda del dominio, sotto il nome di dominio inserito verranno visualizzati i seguenti messaggi.

    • Questo dominio è coperto dal certificato.

    • Questo dominio è coperto dal certificato, in attesa di convalida.

    • Questo dominio non è coperto dal certificato. (Ciò significa che occorre verificare la proprietà del dominio).

  8. Scegli Aggiorna tenant di distribuzione.

    Nella pagina dei dettagli del tenant, in Domini, puoi vedere i seguenti campi:

    • Proprietà del dominio: lo stato della proprietà del dominio. Prima di CloudFront poter pubblicare contenuti, è necessario verificare la proprietà del dominio utilizzando la convalida del certificato TLS.

    • Stato DNS: i record DNS del tuo dominio devono puntare a CloudFront indirizzare correttamente il traffico.

  9. Se la proprietà del dominio non è verificata, nella pagina dei dettagli del tenant, in Domini, scegli Configurazione completa del dominio, quindi completa la procedura seguente per indirizzare il record DNS al tuo nome di dominio. CloudFront

Configurazione completa del dominio

Segui queste procedure per verificare di essere il proprietario del dominio per i tenant di distribuzione. A seconda del dominio, scegli una delle seguenti procedure.

Nota

Se il tuo dominio è già CloudFront indirizzato a un record di alias Amazon Route 53, devi aggiungere il record DNS TXT _cf-challenge. davanti al nome di dominio. Questo record TXT verifica che il tuo nome di dominio sia collegato a. CloudFront Ripeti questa fase per ogni dominio. Di seguito viene illustrato come aggiornare il record TXT:

  • Nome del record: _cf-challenge.DomainName

  • Tipo di record: TXT

  • Valore del record: CloudFrontRoutingEndpoint

Ad esempio, l’aspetto del record TXT potrebbe essere simile al seguente: _cf-challenge.example.com TXT d111111abcdef8.cloudfront.net

Puoi trovare il tuo endpoint CloudFront di routing nella console nella pagina dei dettagli del tenant di distribuzione o utilizzare l'azione ListConnectionGroupsAPI in Amazon CloudFront API Reference per trovarlo.

Suggerimento

Se sei un provider SaaS e desideri consentire l’emissione di certificati senza richiedere ai clienti (tenant) di aggiungere un record TXT direttamente al loro DNS, procedi come segue:

  1. Se sei il proprietario del dominio example-saas-provider.com, assegna sottodomini ai tenant, ad esempio customer-123.example-saas-provider.com

  2. Nel DNS, aggiungi il record TXT _cf-challenge.customer-123.example-saas-provider.com TXT d111111abcdef8.cloudfront.net alla configurazione DNS.

  3. Successivamente, i clienti (i tenant) possono aggiornare il proprio record DNS per mappare il nome di dominio al sottodominio fornito.

    www.customer-domain.com CNAME customer-123.example-saas-provider.com

I have existing traffic

Seleziona questa opzione se il dominio non può tollerare tempo di inattività. Devi avere accesso al tuo server. origin/web Utilizza la procedura riportata di seguito per convalidare la proprietà del dominio.

Come completare la configurazione del dominio in presenza di traffico

  1. Per Specifica il traffico web, scegli Ho traffico esistente, quindi seleziona Avanti.

  2. Per Verifica la proprietà del dominio, scegli una delle seguenti opzioni:

    • Usa certificato esistente: cerca un certificato ACM esistente o inserisci l’ARN del certificato che copre i domini elencati.

    • Caricamento manuale file: scegli questa opzione se hai accesso diretto per caricare file sul server web.

      Per ogni dominio, crea un file di testo semplice che contenga il token di convalida dalla Posizione token e caricalo nell’origine del Percorso file specificato sul server esistente. Ad esempio, l’aspetto del percorso del file potrebbe essere simile all’esempio seguente: /.well-known/pki-validation/acm_9c2a7b2ec0524d09fa6013efb73ad123.txt. Dopo aver completato questa fase, ACM verifica il token e quindi emette il certificato TLS per il dominio.

    • Reindirizzamento HTTP: scegli questa opzione se non hai accesso diretto per caricare file sul server web o se utilizzi un servizio CDN o proxy.

      Per ogni dominio, crea un reindirizzamento 301 sul server esistente. Copia il percorso noto in Reindirizza da e indica l’endpoint del certificato specificato in Reindirizza a. L’aspetto del reindirizzamento potrebbe essere simile all’esempio seguente:

      If the URL matches: example.com/.well-known/pki-validation/leabe938a4fe077b31e1ff62b781c123.txt
Then the settings are:Forwarding URL
Then 301 Permanent Redirect:To validation.us-east-1.acm-validations.aws/123456789012/.well-known/pki-validation/leabe938a4fe077b31e1ff62b781c123.txt
    Nota

    Puoi scegliere Verifica stato del certificato per verificare quando ACM emette il certificato per il dominio.

  3. Scegli Next (Successivo).

  4. Completa le fasi descritte in Indirizza i domini a CloudFront.

I don't have traffic

Seleziona questa opzione se stai aggiungendo nuovi domini. CloudFront gestirà la convalida dei certificati per te.

Come completare la configurazione del dominio in assenza di traffico

  1. Per Specifica il traffico web, scegli Non ho ancora traffico.

  2. Per ogni nome di dominio, completa le fasi indicate in Indirizza i domini a CloudFront.

  3. Dopo aver aggiornato i record DNS per ogni nome di dominio, scegli Avanti.

  4. Attendi che venga emesso il certificato.

    Nota

    Puoi scegliere Verifica stato del certificato per verificare quando ACM emette il certificato per il dominio.

  5. Seleziona Invia.

Indirizza i domini a CloudFront

Aggiorna i tuoi record DNS per indirizzare il traffico da ogni dominio all'endpoint di CloudFront routing. Puoi avere più nomi di dominio, ma devono tutti risolversi in questo endpoint.

Indirizzare i domini a CloudFront

  1. Copia il valore dell'endpoint CloudFront di routing, ad esempio d111111abcdef8.cloudfront.net.

  2. Aggiorna i tuoi record DNS per indirizzare il traffico da ogni dominio all'endpoint di routing. CloudFront

    1. Accedi al registrar di domini o console di gestione del provider DNS.

    2. Passa alla sezione Gestione DNS del dominio.

      • Per i sottodomini: crea un record CNAME. Esempio:

        • Nome: il sottodominio (ad esempio, www o app)

        • Valore/Target: l'endpoint di routing CloudFront

        • Tipo di record: CNAME

        • TTL: 3600 (o qualsiasi altro valore appropriato per il caso d’uso)

      • Per i apex/root domini: ciò richiede una configurazione DNS unica, poiché i record CNAME standard non possono essere utilizzati a livello di dominio root o apex. Poiché la maggior parte dei provider DNS non supporta i record ALIAS, è consigliabile creare un record ALIAS in Route 53. Esempio:

        • Nome: il dominio apex (ad esempio example.com)

        • Tipo di record: A

        • Alias: Sì

        • Alias target: il tuo endpoint di routing CloudFront

        • Policy di instradamento: semplice (o quella appropriata per il caso d’uso)

    3. Verifica che la modifica del DNS sia stata propagata. (Questo di solito accade quando il TTL è scaduto. A volte possono essere necessarie 24-48 ore.) Usa uno strumento come dig o nslookup.

      dig www.example.com
# Should eventually return a CNAME pointing to your CloudFront routing endpoint

  3. Torna alla CloudFront console e scegli Invia. Quando il dominio è attivo, CloudFront aggiorna lo stato del dominio per indicare che il dominio è pronto a servire il traffico.

Per ulteriori informazioni, consulta la documentazione relativa al provider DNS:

Considerazioni sul dominio (tenant di distribuzione)

Quando un dominio è attivo, il controllo del dominio è stato stabilito e CloudFront risponderà a tutte le richieste dei visualizzatori di questo dominio. Una volta attivato, un dominio non può essere disattivato o modificato in uno stato inattivo. Il dominio non può essere associato a un'altra CloudFront risorsa mentre è già in uso. Per associare il dominio a un'altra distribuzione, usa la UpdateDomainAssociationrichiesta per spostare il dominio da una CloudFront risorsa all'altra.

Quando un dominio è inattivo, CloudFront non risponde alle richieste degli utenti al dominio. Mentre il dominio è inattivo, tieni presente quanto segue:

  • Se hai una richiesta di certificato in sospeso, CloudFront risponderà alle richieste per il percorso noto. Mentre la richiesta è in sospeso, il dominio non può essere associato a nessun'altra CloudFront risorsa.

  • Se non hai una richiesta di certificato in sospeso, CloudFront non risponderà alle richieste per il dominio. Puoi associare il dominio ad altre CloudFront risorse.

  • È possibile avere solo una richiesta di certificato in sospeso per ogni tenant di distribuzione. Prima di poter richiedere un altro certificato per domini aggiuntivi, è necessario annullare la richiesta in sospeso esistente. L’annullamento di una richiesta di certificato esistente non elimina il certificato ACM associato. Puoi eliminarla utilizzando l’API ACM.

  • Se applichi un nuovo certificato al tenant di distribuzione, il certificato precedente verrà dissociato. Puoi riutilizzare il certificato per coprire il dominio di un altro tenant di distribuzione.

Come per i rinnovi dei certificati convalidati dal DNS, riceverai una notifica quando il rinnovo del certificato è andato a buon fine. Tuttavia, non devi fare nient'altro. CloudFront gestirà automaticamente il rinnovo del certificato per il tuo dominio.

Nota

Non è necessario chiamare le operazioni API ACM per creare o aggiornare le risorse dei certificati. Puoi gestire i tuoi certificati utilizzando le operazioni CreateDistributionTenante UpdateDistributionTenantAPI per specificare i dettagli della tua richiesta di certificato gestita.

Domini con carattere jolly (tenant di distribuzione)

I domini con carattere jolly sono supportati per i tenant di distribuzione nelle seguenti situazioni:

  • Quando il carattere jolly è incluso nel certificato condiviso ereditato dalla distribuzione multi-tenant principale

  • Quando si utilizza un certificato TLS personalizzato esistente valido per il tenant di distribuzione