為您的 CloudFront 分佈租用戶請求憑證 - Amazon CloudFront
新增網域和憑證 (分發租用戶)完成網域設定將網域指向 CloudFront網域考量 (分發租用戶)

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

為您的 CloudFront 分佈租用戶請求憑證

當您建立分佈租用戶時,租用戶會從多租用戶分佈繼承共用 AWS Certificate Manager (ACM) 憑證。此共用憑證為與多租用戶分佈相關聯的所有租用戶提供 HTTPS。

當您建立或更新 CloudFront 分佈租用戶以新增網域時,您可以從 ACM 新增受管 CloudFront 憑證。然後CloudFront 會代表您從 ACM 取得 HTTP 驗證的憑證。您可以將此租戶層級 ACM 憑證用於自訂網域組態。CloudFront 簡化了續約工作流程,以協助讓憑證保持up-to-date,並且確保內容交付不中斷。

注意

您擁有憑證,但只能與 CloudFront 資源搭配使用,且無法匯出私有金鑰。

您可以在建立或更新分發租用戶時請求憑證。

新增網域和憑證 (分發租用戶)

下列程序說明如何新增網域並更新分發租用戶的憑證。

新增網域和憑證 (分發租用戶)

  1. 登入 AWS Management Console ,並在 開啟 CloudFront 主控台https://console.aws.amazon.com/cloudfront/v4/home

  2. SaaS 下,選擇分佈租用戶

  3. 搜尋分佈租用戶。使用搜尋列中的下拉式功能表,依網域、名稱、分佈 ID、憑證 ID、連線群組 ID 或 Web ACL ID 進行篩選。

  4. 選擇分佈租用戶名稱。

  5. 針對網域,選擇管理網域

  6. 針對憑證,選擇您是否要為分發租用戶建立自訂 TLS 憑證。憑證會驗證您是否獲授權使用網域名稱。憑證必須存在於美國東部 (維吉尼亞北部) 區域。

  7. 針對網域,選擇新增網域,然後輸入網域名稱。根據您的網域,以下訊息會顯示在您輸入的網域名稱下。

    • 此網域由憑證涵蓋。

    • 此網域由憑證涵蓋,待驗證。

    • 憑證未涵蓋此網域。(這表示您必須驗證網域擁有權。)

  8. 選擇更新分佈租用戶

    在租戶詳細資訊頁面的網域下,您可以看到下列欄位:

    • 網域擁有權 – 網域擁有權的狀態。您必須先使用 TLS 憑證驗證來驗證您的網域擁有權,CloudFront 才能提供內容。

    • DNS 狀態 – 網域的 DNS 記錄必須指向 CloudFront 才能正確路由流量。

  9. 如果您的網域擁有權未經過驗證,請在租戶詳細資訊頁面的網域下,選擇完成網域設定,然後完成下列程序,將 DNS 記錄指向您的 CloudFront 網域名稱。

完成網域設定

請依照這些程序來驗證您擁有分發租用戶的網域。根據您的網域,選擇下列其中一個程序。

注意

如果您的網域已指向具有 Amazon Route 53 別名記錄的 CloudFront,則必須在網域名稱_cf-challenge.前面使用 新增 DNS TXT 記錄。此 TXT 記錄會驗證您的網域名稱是否已連結至 CloudFront。為每個網域重複此步驟。以下說明如何更新您的 TXT 記錄:

  • 記錄名稱: _cf-challenge.DomainName

  • 記錄類型: TXT

  • 記錄值: CloudFrontRoutingEndpoint

例如,您的 TXT 記錄可能如下所示: _cf-challenge.example.com TXT d111111abcdef8.cloudfront.net

您可以在分佈租戶詳細資訊頁面的 主控台中找到您的 CloudFront 路由端點,或使用 Amazon CloudFront API 參考中的 ListConnectionGroups API 動作來尋找它。 Amazon CloudFront

I have existing traffic

如果您的網域無法容忍停機時間,請選取此選項。您必須能夠存取您的原始伺服器/網路伺服器。使用下列程序來驗證網域擁有權。

在現有流量時完成網域設定

  1. 針對指定您的 Web 流量,選擇我有現有的流量,然後選擇下一步

  2. 針對驗證網域擁有權,選擇下列其中一個選項:

    • 使用現有憑證 – 搜尋現有的 ACM 憑證或輸入涵蓋所列網域的憑證 ARN。

    • 手動檔案上傳:選擇您是否具有將檔案上傳到 Web 伺服器的直接存取權。

      針對每個網域,建立包含來自權杖位置之驗證權杖的純文字檔案,並將其上傳至現有伺服器上指定檔案路徑的原始伺服器。此檔案的路徑可能如下所示:/.well-known/pki-validation/acm_9c2a7b2ec0524d09fa6013efb73ad123.txt。完成該步驟後,ACM 會驗證權杖,然後發出網域的 TLS 憑證。

    • HTTP 重新導向 – 如果您沒有將檔案上傳到 Web 伺服器的直接存取權,或者您使用 CDN 或代理服務,請選擇此選項。

      針對每個網域,在現有伺服器上建立 301 重新導向。複製 Redirect from 下的已知路徑,並指向 Redirect to 下的指定憑證端點。您的重新導向可能如下所示:

      If the URL matches: example.com/.well-known/pki-validation/leabe938a4fe077b31e1ff62b781c123.txt
Then the settings are:Forwarding URL
Then 301 Permanent Redirect:To validation.us-east-1.acm-validations.aws/123456789012/.well-known/pki-validation/leabe938a4fe077b31e1ff62b781c123.txt
    注意

    您可以選擇檢查憑證狀態,以驗證 ACM 何時發出網域的憑證。

  3. 選擇下一步

  4. 完成 的步驟將網域指向 CloudFront

I don't have traffic

如果您要新增網域,請選取此選項。CloudFront 會為您管理憑證驗證。

如果您沒有流量,請完成網域設定

  1. 針對指定您的 Web 流量,選擇我還沒有流量

  2. 針對每個網域名稱,完成 的步驟將網域指向 CloudFront

  3. 更新每個網域名稱的 DNS 記錄後,請選擇下一步

  4. 等待憑證發出。

    注意

    您可以選擇檢查憑證狀態,以驗證 ACM 何時發出網域的憑證。

  5. 選擇提交

將網域指向 CloudFront

更新您的 DNS 記錄,將流量從每個網域路由到 CloudFront 路由端點。您可以有多個網域名稱,但必須解析為此端點。

將網域指向 CloudFront

  1. 複製 CloudFront 路由端點值,例如 d111111abcdef8.cloudfront.net。

  2. 更新您的 DNS 記錄,將流量從每個網域路由到 CloudFront 路由端點。

    1. 登入您的網域註冊商或 DNS 供應商管理主控台。

    2. 導覽至網域的 DNS 管理區段。

      • 對於子網域 – 建立 CNAME 記錄。例如:

        • 名稱 – 您的子網域 (例如 wwwapp)

        • 值/目標 – CloudFront 路由端點

        • 記錄類型 – CNAME

        • TTL – 3600 (或任何適合您的使用案例)

      • 對於 apex/root 網域 – 從允許 apex 網域重新導向的 DNS 供應商建立 ALIAS 記錄 (Route 53) 或類似功能。例如,在 Route 53 中:

        • 名稱 – 您的頂點網域 (例如 example.com)

        • 記錄類型 – A

        • 別名 – 是

        • 別名目標 – CloudFront 路由端點

        • 路由政策 – 簡單 (或任何適合您的使用案例)

    3. 確認 DNS 變更已傳播。(這可能需要 24-48 小時。) 使用 dig或 等工具nslookup

      dig www.example.com
# Should eventually return a CNAME pointing to your CloudFront routing endpoint

  3. 返回 CloudFront 主控台,然後選擇提交。這會讓您返回分佈租用戶頁面。當您的網域處於作用中狀態時,CloudFront 會更新網域狀態,以指出您的網域已準備好為流量提供服務。

網域考量 (分發租用戶)

當網域處於作用中狀態時,網域控制已建立,CloudFront 會回應此網域的所有瀏覽者請求。一旦啟用,網域就無法停用或變更為非作用中狀態。當網域已在使用時,無法與另一個 CloudFront 資源建立關聯。若要將網域與另一個分佈建立關聯,請使用 UpdateDomainAssociation 請求將網域從一個 CloudFront 資源移至另一個資源。

當網域處於非作用中狀態時,CloudFront 不會回應檢視器對網域的請求。當網域處於非作用中狀態時,請注意下列事項:

  • 如果您有待定的憑證請求,CloudFront 會回應已知路徑的請求。當請求擱置時,網域無法與任何其他 CloudFront 資源建立關聯。

  • 如果您沒有待定的憑證請求,CloudFront 不會回應網域的請求。您可以將網域與其他 CloudFront 資源建立關聯。

  • 每個分發租用戶只能有一個待定憑證請求。您必須先取消現有的待定請求,才能為其他網域請求另一個憑證。取消現有的憑證請求不會刪除相關聯的 ACM 憑證。您可以使用 ACM API 刪除該項目。

  • 如果您將新憑證套用至分發租用戶,這將取消與先前憑證的關聯。您可以重複使用憑證來涵蓋另一個分佈租用戶的網域。

如同 DNS 驗證憑證的續約,當憑證續約成功時,您會收到通知。不過,您不需要執行任何其他動作。CloudFront 會自動管理網域的憑證續約。

注意

您不需要呼叫 ACM API 操作來建立或更新憑證資源。您可以使用 CreateDistributionTenantUpdateDistributionTenant API 操作來指定受管憑證請求的詳細資訊,以管理您的憑證。