Richiedi i certificati per il tuo tenant CloudFront di distribuzione - Amazon CloudFront
Aggiungi un dominio e un certificato (tenant di distribuzione)Configurazione completa del dominioIndirizza i domini a CloudFrontConsiderazioni sul dominio (tenant di distribuzione)

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Richiedi i certificati per il tuo tenant CloudFront di distribuzione

Quando crei un tenant di distribuzione, il tenant eredita il certificato condiviso AWS Certificate Manager (ACM) dalla distribuzione multi-tenant. Questo certificato condiviso fornisce HTTPS per tutti i tenant associati alla distribuzione multi-tenant.

Quando crei o aggiorni un tenant di CloudFront distribuzione per aggiungere domini, puoi aggiungere un certificato gestito da ACM. CloudFront CloudFront ottiene quindi un certificato convalidato HTTP da ACM per tuo conto. Puoi utilizzare questo certificato ACM a livello di tenant per configurazioni di dominio personalizzate. CloudFront semplifica il flusso di lavoro di rinnovo per aiutare a mantenere i certificati up-to-date e la distribuzione sicura dei contenuti senza interruzioni.

Nota

Il certificato è di tua proprietà, ma può essere utilizzato solo con CloudFront risorse e la chiave privata non può essere esportata.

È possibile richiedere il certificato quando si crea o si aggiorna il tenant di distribuzione.

Aggiungi un dominio e un certificato (tenant di distribuzione)

La procedura seguente mostra come aggiungere un dominio e aggiornare il certificato per un tenant di distribuzione.

Per aggiungere un dominio e un certificato (tenant di distribuzione)

  1. Accedi a AWS Management Console e apri la CloudFront console all'indirizzohttps://console.aws.amazon.com/cloudfront/v4/home.

  2. In SaaS, scegli Distribution tenant.

  3. Cerca il tenant di distribuzione. Utilizza il menu a discesa nella barra di ricerca per filtrare per dominio, nome, ID di distribuzione, ID certificato, ID del gruppo di connessione o ID ACL Web.

  4. Scegli il nome del tenant di distribuzione.

  5. Per Domini, scegli Gestisci dominio.

  6. Per Certificato, scegli se desideri un certificato TLS personalizzato per il tuo tenant di distribuzione. Il certificato verifica se sei autorizzato a utilizzare il nome di dominio. Il certificato deve esistere nella regione Stati Uniti orientali (Virginia settentrionale).

  7. Per Domini, scegli Aggiungi dominio e inserisci il nome di dominio. A seconda del dominio, i seguenti messaggi verranno visualizzati sotto il nome di dominio inserito.

    • Questo dominio è coperto dal certificato.

    • Questo dominio è coperto dal certificato, in attesa di convalida.

    • Questo dominio non è coperto da un certificato. (Ciò significa che devi verificare la proprietà del dominio.)

  8. Scegli Aggiorna tenant di distribuzione.

    Nella pagina dei dettagli del tenant, in Domini, puoi vedere i seguenti campi:

    • Proprietà del dominio: lo stato della proprietà del dominio. Prima di CloudFront poter pubblicare contenuti, è necessario verificare la proprietà del dominio utilizzando la convalida del certificato TLS.

    • Stato DNS: i record DNS del tuo dominio devono puntare a CloudFront indirizzare correttamente il traffico.

  9. Se la proprietà del dominio non è verificata, nella pagina dei dettagli del tenant, in Domini, scegli Configurazione completa del dominio, quindi completa la procedura seguente per indirizzare il record DNS al tuo nome di dominio. CloudFront

Configurazione completa del dominio

Segui queste procedure per verificare di essere il proprietario del dominio per i tuoi tenant di distribuzione. A seconda del dominio, scegli una delle seguenti procedure.

Nota

Se il tuo dominio è già CloudFront indirizzato a un record di alias Amazon Route 53, devi aggiungere il record DNS TXT _cf-challenge. davanti al nome di dominio. Questo record TXT verifica che il tuo nome di dominio sia collegato a. CloudFront Ripeti questo passaggio per ogni dominio. Di seguito viene illustrato come aggiornare il record TXT:

  • Nome del record: _cf-challenge.DomainName

  • Tipo di record: TXT

  • Valore del record: CloudFrontRoutingEndpoint

Ad esempio, il tuo record TXT potrebbe avere il seguente aspetto: _cf-challenge.example.com TXT d111111abcdef8.cloudfront.net

Puoi trovare il tuo endpoint CloudFront di routing nella console nella pagina dei dettagli del tenant di distribuzione o utilizzare l'azione ListConnectionGroupsAPI in Amazon CloudFront API Reference per trovarlo.

I have existing traffic

Seleziona questa opzione se il tuo dominio non può tollerare tempi di inattività. Devi avere accesso al tuo server web di origine. Utilizza la seguente procedura per convalidare la proprietà del dominio.

Per completare la configurazione del dominio in presenza di traffico esistente

  1. Per Specificare il traffico web, scegli Ho traffico esistente, quindi scegli Avanti.

  2. Per Verifica la proprietà del dominio, scegli una delle seguenti opzioni:

    • Usa certificato esistente: cerca un certificato ACM esistente o inserisci l'ARN del certificato che copre i domini elencati.

    • Caricamento manuale dei file: scegli se hai accesso diretto per caricare i file sul tuo server web.

      Per ogni dominio, crea un file di testo semplice che contenga il tuo token di convalida dalla posizione del token e caricalo nell'origine nel percorso del file specificato sul tuo server esistente. Il percorso di questo file potrebbe essere simile al seguente esempio:/.well-known/pki-validation/acm_9c2a7b2ec0524d09fa6013efb73ad123.txt. Dopo aver completato questo passaggio, ACM verifica il token e quindi emette il certificato TLS per il dominio.

    • Reindirizzamento HTTP: scegli se non hai accesso diretto per caricare file sul tuo server web o se stai utilizzando un CDN o un servizio proxy.

      Per ogni dominio, crea un reindirizzamento 301 sul tuo server esistente. Copia il percorso noto in Reindirizza da e punta all'endpoint del certificato specificato in Reindirizza a. Il tuo reindirizzamento potrebbe essere simile al seguente esempio:

      If the URL matches: example.com/.well-known/pki-validation/leabe938a4fe077b31e1ff62b781c123.txt
Then the settings are:Forwarding URL
Then 301 Permanent Redirect:To validation.us-east-1.acm-validations.aws/123456789012/.well-known/pki-validation/leabe938a4fe077b31e1ff62b781c123.txt
    Nota

    Puoi scegliere Verifica lo stato del certificato per verificare quando ACM emette il certificato per il dominio.

  3. Scegli Next (Successivo).

  4. Completa i passaggi perIndirizza i domini a CloudFront.

I don't have traffic

Seleziona questa opzione se stai aggiungendo nuovi domini. CloudFront gestirà la convalida dei certificati per te.

Per completare la configurazione del dominio se non hai traffico

  1. Per Specificare il traffico web, scegli Non ho ancora traffico.

  2. Per ogni nome di dominio, completa i passaggi perIndirizza i domini a CloudFront.

  3. Dopo aver aggiornato i record DNS per ogni nome di dominio, scegli Avanti.

  4. Attendi l'emissione del certificato.

    Nota

    Puoi scegliere Verifica lo stato del certificato per verificare quando ACM emette il certificato per il dominio.

  5. Scegli Invia.

Indirizza i domini a CloudFront

Aggiorna i tuoi record DNS per indirizzare il traffico da ogni dominio all'endpoint di CloudFront routing. Puoi avere più nomi di dominio, ma devono essere risolti su questo endpoint.

Indirizzare i domini a CloudFront

  1. Copia il valore dell'endpoint CloudFront di routing, ad esempio d111111abcdef8.cloudfront.net.

  2. Aggiorna i tuoi record DNS per indirizzare il traffico da ogni dominio all'endpoint di routing. CloudFront

    1. Accedi al registrar di domini o alla console di gestione del provider DNS.

    2. Vai alla sezione di gestione DNS per il tuo dominio.

      • Per i sottodomini: crea un record CNAME. Per esempio:

        • Nome: il tuo sottodominio (ad esempio o) www app

        • Valore/ Target: l'endpoint di CloudFront routing

        • Tipo di record: CNAME

        • TTL — 3600 (o qualsiasi altra opzione appropriata per il vostro caso d'uso)

      • Per i domini apex/root: crea un record ALIAS (Route 53) o una funzionalità simile dal tuo provider DNS che consenta il reindirizzamento dei domini apex. Ad esempio, in Route 53:

        • Nome: il tuo dominio apex (ad esempioexample.com)

        • Tipo di record: A

        • Alias: Sì

        • Alias target: il tuo CloudFront endpoint di routing

        • Politica di routing: semplice (o quella appropriata per il caso d'uso)

    3. Verifica che la modifica DNS si sia propagata. (Questa operazione può richiedere 24-48 ore). Usa uno strumento come dig onslookup.

      dig www.example.com
# Should eventually return a CNAME pointing to your CloudFront routing endpoint

  3. Torna alla CloudFront console e scegli Invia. In questo modo si torna alla pagina del tenant di distribuzione. Quando il dominio è attivo, CloudFront aggiorna lo stato del dominio per indicare che il dominio è pronto a servire il traffico.

Considerazioni sul dominio (tenant di distribuzione)

Quando un dominio è attivo, è stato stabilito il controllo del dominio e CloudFront risponderà a tutte le richieste dei visualizzatori di questo dominio. Una volta attivato, un dominio non può essere disattivato o modificato in uno stato inattivo. Il dominio non può essere associato a un'altra CloudFront risorsa mentre è già in uso. Per associare il dominio a un'altra distribuzione, usa la UpdateDomainAssociationrichiesta per spostare il dominio da una CloudFront risorsa all'altra.

Quando un dominio è inattivo, CloudFront non risponde alle richieste degli utenti al dominio. Mentre il dominio è inattivo, tieni presente quanto segue:

  • Se hai una richiesta di certificato in sospeso, CloudFront risponderà alle richieste per il percorso noto. Mentre la richiesta è in sospeso, il dominio non può essere associato a nessun'altra CloudFront risorsa.

  • Se non hai una richiesta di certificato in sospeso, CloudFront non risponderà alle richieste per il dominio. Puoi associare il dominio ad altre CloudFront risorse.

  • È possibile avere solo una richiesta di certificato in sospeso per tenant di distribuzione. Prima di poter richiedere un altro certificato per domini aggiuntivi, è necessario annullare la richiesta in sospeso esistente. L'annullamento di una richiesta di certificato esistente non elimina il certificato ACM associato. Puoi eliminarlo utilizzando l'API ACM.

  • Se applichi un nuovo certificato al tenant di distribuzione, il certificato precedente verrà dissociato. È possibile riutilizzare il certificato per coprire il dominio di un altro tenant di distribuzione.

Come per i rinnovi per i certificati convalidati dal DNS, riceverai una notifica quando il rinnovo del certificato avrà esito positivo. Tuttavia, non devi fare nient'altro. CloudFront gestirà automaticamente il rinnovo del certificato per il tuo dominio.

Nota

Non è necessario chiamare le operazioni dell'API ACM per creare o aggiornare le risorse dei certificati. Puoi gestire i tuoi certificati utilizzando le operazioni CreateDistributionTenante UpdateDistributionTenantAPI per specificare i dettagli della tua richiesta di certificato gestita.