Solicitar certificados para locatários de distribuição do CloudFront - Amazon CloudFront
Adicionar um domínio e um certificado (locatário da distribuição)Concluir configuração do domínioApontar domínios para o CloudFrontConsiderações sobre domínio (locatário da distribuição)

Solicitar certificados para locatários de distribuição do CloudFront

Quando você cria um locatário de distribuição, ele herda o certificado do AWS Certificate Manager (ACM) compartilhado da distribuição multilocatário. Esse certificado compartilhado oferece HTTPS a todos os locatários associados à distribuição multilocatário.

Ao criar ou atualizar um locatário de distribuição do CloudFront para adicionar domínios, é possível adicionar um certificado gerenciado do CloudFront emitido pelo ACM. Em seguida, o CloudFront obtém um certificado validado por HTTP do ACM em seu nome. Você pode usar esse certificado do ACM de nível de locatário para configurações de domínio personalizadas. O CloudFront simplifica o fluxo de trabalho de renovação para ajudar a manter os certificados atualizados e garantir a entrega de conteúdo ininterrupta.

nota

O certificado pertence a você, mas ele pode ser usadosomente com os recursos do CloudFront e a chave privada não pode ser exportada.

É possível solicitar o certificado ao criar ou atualizar o locatário da distribuição.

Adicionar um domínio e um certificado (locatário da distribuição)

O procedimento a seguir mostra como adicionar um domínio e atualizar o certificado para um locatário da distribuição.

Como adicionar um domínio e um certificado (locatário da distribuição)

  1. Faça login no AWS Management Console e abra o console do CloudFront em https://console.aws.amazon.com/cloudfront/v4/home.

  2. Em SaaS escolha Locatários da distribuição.

  3. Pesquise o locatário da distribuição. Use o menu suspenso na barra de pesquisa para filtrar por domínio, nome, ID da distribuição, ID do certificado, ID do grupo de conexões ou ID da ACL da web.

  4. Escolha o nome da distribuição.

  5. Em Domínios, escolha Gerenciar domínio.

  6. Em Certificado, escolha se você deseja um certificado TLS personalizado para o locatário da distribuição. O certificado confirma se você tem autorização para usar o nome de domínio. Você deve importar o certificado na região Leste dos EUA (Norte da Virgínia).

  7. Em Domínios, escolha Adicionar domínio e insira o nome do domínio. Dependendo do domínio, as mensagens a seguir aparecerão embaixo do nome de domínio que você inserir.

    • Esse domínio é coberto pelo certificado.

    • Esse domínio é coberto pelo certificado, com validação pendente.

    • Esse domínio não é coberto por um certificado. (Isso significa que é preciso verificar a propriedade do domínio.)

  8. Escolha Atualizar locatário da distribuição.

    Na página de detalhes do locatário, em Domínios, é possível ver os seguintes campos:

    • Propriedade do domínio: o status da propriedade do domínio. A propriedade do domínio deverá ser verificada usando a validação do certificado TLS antes que o CloudFront possa fornecer o conteúdo.

    • Status do DNS: os registros de DNS do domínio devem apontar para o CloudFront para que o tráfego seja roteado corretamente.

  9. Se a propriedade do domínio não for verificada, na página de detalhes do locatário, em Domínios, escolha Concluir configuração do domínio e, em seguida, conclua o procedimento a seguir para apontar o registro de DNS para o nome de domínio do CloudFront.

Concluir configuração do domínio

Siga estes procedimentos para verificar se o domínio dos locatários da distribuição pertence a você. Dependendo do domínio, escolha um dos procedimentos a seguir.

nota

Se o domínio já estiver apontado para o CloudFront com um registro de alias do Amazon Route 53, adicione seu registro de DNS TXT com _cf-challenge. na frente do nome de domínio. Esse registro TXT verifica se o nome de domínio está vinculado ao CloudFront. Repita esta etapa para cada domínio. Veja abaixo como atualizar seu registro TXT:

  • Nome do registro: _cf-challenge.DomainName.

  • Tipo de registro: TXT.

  • Valor do registro: CloudFrontRoutingEndpoint.

Por exemplo, o registro TXT pode ser semelhante ao seguinte: _cf-challenge.example.com TXT d111111abcdef8.cloudfront.net.

Você pode encontrar seu endpoint de roteamento do CloudFront na página de detalhes de locatários de distribuição do console ou usar a ação de API ListConnectionGroups na Referência de API do Amazon CloudFront para encontrá-lo.

dica

Se você é um provedor de SaaS e deseja permitir a emissão de certificados sem exigir que seus clientes (locatários) adicionem um registro TXT diretamente ao DNS deles, faça o seguinte:

  1. Se você é proprietário do domínio example-saas-provider.com, atribua subdomínios aos seus locatários, como customer-123.example-saas-provider.com

  2. No seu DNS, adicione o registro TXT _cf_challenge.customer-123.example-saas-provider.com TXT d111111abcdef8.cloudfront.net à sua configuração de DNS.

  3. Em seguida, seus clientes (os locatários) podem atualizar seu próprio registro DNS para mapear o nome de domínio deles para o subdomínio que você forneceu.

    www.customer-domain.com CNAME customer-123.example-saas-provider.com

I have existing traffic

Selecione essa opção se seu domínio não puder passar por tempo de inatividade. Você deve ter acesso ao seu servidor de origem/web. Use o procedimento a seguir para validar a propriedade do domínio.

Como concluir a configuração do domínio quando você já tem tráfego

  1. Em Especificar tráfego da web, escolha Já tenho tráfego e selecione Próximo.

  2. Em Verificar a propriedade do domínio, escolha uma das seguintes opções:

    • Usar certificado existente: pesquise um certificado do ACM já em vigor ou insira o ARN do certificado que abranja os domínios listados.

    • Upload de arquivo manual: escolha essa opção se você tiver acesso direto para fazer upload de arquivos no seu servidor web.

      Para cada domínio, crie um arquivo de texto simples que contenha o token de validação em Local do token e faça upload em sua origem no caminho de arquivo especificado no servidor existente. O caminho para esse arquivo deve ser semelhante ao seguinte exemplo: /.well-known/pki-validation/acm_9c2a7b2ec0524d09fa6013efb73ad123.txt. Após a conclusão dessa etapa, o ACM verifica o token e emite o certificado TLS para o domínio.

    • Redirecionamento HTTP: escolha essa opção se você não tiver acesso direto para fazer upload de arquivos no seu servidor web ou se estiver usando um serviço de CDN ou proxy.

      Para cada domínio, crie um redirecionamento 301 no servidor existente. Copie o caminho conhecido em Redirecionar de e aponte para o endpoint do certificado especificado em Redirecionar para. O redirecionamento deve ser semelhante ao seguinte exemplo:

      If the URL matches: example.com/.well-known/pki-validation/leabe938a4fe077b31e1ff62b781c123.txt
Then the settings are:Forwarding URL
Then 301 Permanent Redirect:To validation.us-east-1.acm-validations.aws/123456789012/.well-known/pki-validation/leabe938a4fe077b31e1ff62b781c123.txt
    nota

    Você pode escolher Verificar status do certificado para verificar quando o ACM emite o certificado para o domínio.

  3. Escolha Próximo.

  4. Conclua as etapas referentes a Apontar domínios para o CloudFront.

I don't have traffic

Selecione essa opção se você estiver adicionando novos domínios. O CloudFront gerenciará a validação do certificado para você.

Como concluir a configuração do domínio quando você ainda não tem tráfego

  1. Em Especificar tráfego da web, escolha Ainda não tenho tráfego.

  2. Para cada nome de domínio, conclua as etapas referentes a Apontar domínios para o CloudFront.

  3. Depois de atualizar o registro de DNS de cada nome de domínio, escolha Próximo.

  4. Aguarde a emissão do certificado.

    nota

    Você pode escolher Verificar status do certificado para verificar quando o ACM emite o certificado para o domínio.

  5. Selecione Enviar.

Apontar domínios para o CloudFront

Atualize os registros de DNS para rotear o tráfego de cada domínio para o endpoint de roteamento do CloudFront. Você pode ter vários nomes de domínio, mas eles devem ser todos resolvidos nesse endpoint.

Como apontar domínios para o CloudFront

  1. Copie o valor do endpoint de roteamento do CloudFront; por exemplo, d111111abcdef8.cloudfront.net.

  2. Atualize os registros de DNS para rotear o tráfego de cada domínio para o endpoint de roteamento do CloudFront.

    1. Faça login no registrador de domínio ou no console de gerenciamento do provedor de DNS.

    2. Acesse a seção de gerenciamento de DNS do seu domínio.

      • Para subdomínios: crie um registro CNAME. Por exemplo:

        • Nome: seu subdomínio (como www ou app).

        • Valor/destino: o endpoint de roteamento do CloudFront.

        • Tipo de registro: CNAME.

        • TTL: 3.600 (ou o que for apropriado para seu caso de uso).

      • Para domínios apex/raiz: isso requer uma configuração de DNS exclusiva, porque os registros CNAME padrão não podem ser usados no nível do domínio raiz ou apex. Como a maioria dos provedores de DNS não oferece suporte a registros ALIAS, recomendamos criar um registro ALIAS no Route 53. Por exemplo:

        • Nome: o domínio ápex (como example.com).

        • Tipo de registro: A.

        • Alias: sim.

        • Destino do alias: o endpoint de roteamento do CloudFront.

        • Política de roteamento: simples (ou o que for apropriado para seu caso de uso).

    3. Verifique se a alteração de DNS foi propagada. (Isso geralmente acontece quando o TTL expira. Às vezes, pode levar de 24 a 48 horas.) Use uma ferramenta, como dig ou nslookup.

      dig www.example.com
# Should eventually return a CNAME pointing to your CloudFront routing endpoint

  3. Retorne ao console do CloudFront e escolha Enviar. Quando o domínio estiver ativo, o CloudFront atualizará o respectivo status para indicar que o domínio está pronto para atender ao tráfego.

Para obter mais informações, consulte a documentação do seu provedor de DNS:

Considerações sobre domínio (locatário da distribuição)

Quando um domínio está ativo, o controle do domínio foi estabelecido e o CloudFront responderá a todas as solicitações do visualizador a esse domínio. Depois de ativado, um domínio não pode ser desativado ou alterado para o status inativo. O domínio não poderá ser associado a outro recurso do CloudFront enquanto estiver em uso. Para associar o domínio a outra distribuição, use a solicitação UpdateDomainAssociation para mover o domínio de um recurso do CloudFront para outro.

Quando um domínio estiver inativo, o CloudFront não responderá às solicitações do visualizador ao domínio. Enquanto o domínio estiver inativo, observe o seguinte:

  • Se houver uma solicitação de certificado pendente, o CloudFront responderá às solicitações do caminho conhecido. Enquanto a solicitação estiver pendente, o domínio não poderá ser associado a nenhum outro recurso do CloudFront.

  • Se você não tiver uma solicitação de certificado pendente, o CloudFront responderá às solicitações para o domínio. Você pode associar o domínio a outros recursos do CloudFront.

  • Você pode ter somente uma solicitação de certificado pendente por locatário de distribuição. Cancele a solicitação pendente antes de solicitar outro certificado para domínios adicionais. Cancelar uma solicitação de certificado não exclui o certificado do ACM correspondente. Você pode excluí-lo usando a API do ACM.

  • Se você aplicar um novo certificado ao locatário da distribuição, o certificado anterior será desassociado. Você pode reutilizar o certificado para abranger o domínio de outro locatário de distribuição.

Assim como ocorre com as renovações de certificados validados por DNS, você receberá uma notificação quando a renovação do certificado for bem-sucedida. Você não precisa fazer nada. O CloudFront gerenciará automaticamente a renovação do certificado do seu domínio.

nota

Não é necessário chamar as operações de API do ACM para criar ou atualizar seus recursos de certificado. Você pode gerenciar os certificados usando as operações de API CreateDistributionTenant e UpdateDistributionTenant para especificar os detalhes da sua solicitação de certificado gerenciado.