it-swarm.cn

有没有办法在Amazon的CloudFront CDN和CNAME中使用HTTPS?

我们使用Amazon的CloudFront CDN,并在主域(static1.example.com)下悬挂自定义CNAME。虽然我们可以打破这种统一的外观并使用原始的123wigglyw00.cloudfront.net网址来使用HTTPS,还有另外一种方法吗?

亚马逊或任何其他类似的提供商是否提供HTTPS CDN托管服务?

TLS及其选择性加密是否可在某处使用(SNI:服务器名称指示)?

脚注:假设答案是否定的,但希望有人知道。

EDIT:现在使用Google App Engine https://developers.google.com/appengine/docs/ssl CDN托管与SSL支持。

16
Metalshark

不支持具有CNAME和HTTPS的CloudFront,请参阅 CloudFront CNAME文档 中的第一个注释。

我不认为任何低成本的CDN都支持CNAME和HTTPS,为此他们必须有一些方法让你将未加密的证书上传到他们的CDN网络。

18
carson

请注意下面的编辑和更新

在撰写本文时(2012年5月23日),通过CloudFront分发URL支持SSL 只要。意思是,你不能CNAME SSL URL。 具体而言,您可以通过SSL引用项目:

https://[distribution].cloudfront.net/picture.jpg

但不是:

https://cdn.mydomain.com/picture.jpg

其中cdn.mydomain.com是[发布] .cloudfront.net的CNAME。目前您将收到SSL错误。

这意味着您无法使用您的域名或SSL证书。这可能会导致浏览器中的跨域策略出现问题,并会增加维护站点的撤消复杂性。

AWS工作人员向我保证,对分发CNAME的HTTPS支持在其功能列表中,但需要社区支持才能确定优先级。为了帮助完成这项工作,请填写CloudFront调查(见下文)并注意此功能请求。 AWS员工使用从调查中收集的数据来规划和确定CloudFront路线图的优先级。

请务必注意,在进行CloudFront调查时需要支持HTTPS CNAME: http://aws.qualtrics.com/SE/?SID=SV_9yvAN5PK8abJIFK

编辑:注意到2012年6月11日AWS已更新调查链接的帖子:

新的调查链接: http://aws.qualtrics.com/SE/?SID=SV_e4eM1cRblPaccFS

我认为值得花时间向他们提供有关使CNAME + SSL成为受支持功能的反馈。

编辑:2013年6月11日宣布,自定义SSL Certs与专用IP现在支持AWS上的CloudFront :

请参阅AWS博客上的功能公告: http://aws.typepad.com/aws/2013/06/custom-ssl-domain-names-root-domain-hosting-for-Amazon-cloudfront.html

在计算这条路线之前需要考虑的一个问题是,您需要看到偏离 https:// [分布] .cloudfront.net 路线的重要价值,因为定价是每月600美元的托管自定义SSL证书。

编辑:2014年3月5日宣布,现在,AWS上的CloudFront支持使用服务器名称指示(SNI)的自定义SSL证书 - 否额外收费:

AWS现在通过SNI支持自定义SSL Certs。这是巨大的,因为它开启了利用AWS现有基础设施(IP地址)的可能性。因此,AWS不会对此服务收取额外费用!要了解更多信息,请在AWS博客文章中阅读: http://aws.typepad.com/aws/2014/03/server-name-indication-sni-and-http-redirection-for-Amazon -cloudfront.html

应该注意的一个项目,服务器名称指示(SNI)确实有一些缺点,在完全依赖它之前应该考虑。特别是一些旧版浏览器不支持它。如果想更好地理解这一点,请参阅: https://stackoverflow.com/questions/5154596/is-ssl-sni-actually-used-and-supported-in-browsers

编辑:AWS于2016年1月21日宣布,他们将免费提供自定义SSL证书!

要了解AWS网站上的完整公告: https://aws.Amazon.com/blogs/aws/new-aws-certificate-manager-deploy-ssltls-based-apps-on-aws/

亚马逊宣布推出名为AWS Certificate Manager的新服务,为AWS资源提供免费的SSL/TLS证书。

这些证书通常从Symantec,Comodo和RapidSSL等第三方证书提供商处购买,价格可能在50美元到数百美元之间,具体取决于所执行的身份验证级别。

获取新证书的过程总是有点混乱,需要在受保护的服务器上生成证书签名请求,将该请求发送给证书提供者,然后在收到证书后安装证书。由于亚马逊正在管理整个流程,所有这些都消失了,可以自动在AWS资源上快速发布和配置证书。

证书有一些限制。亚马逊仅提供经过域验证的证书,这是一种通过电子邮件进行域验证的简单验证。如果您需要扩展验证证书,您可以坚持使用其当前的证书提供商。此外,证书不能用于代码签名或电子邮件加密。

16
John Mark Mitchell