Вопросы Теги

Альтернативные домены Cloudfront с использованием SNI для HTTPS

Я пытаюсь использовать Cloudfront для обслуживания корзины S3 через HTTPS с использованием «Альтернативного доменного имени», но я получаю эту ошибку при загрузке сайта в браузере: 

NET::ERR_CERT_COMMON_NAME_INVALID

This server could not prove that it is example.com; its security
certificate is from *.cloudfront.net. This may be caused by a
misconfiguration or an attacker intercepting your connection.

Эта ошибка имеет смысл, но насколько я понимаю, Cloudfront каким-то образом должен иметь возможность использовать сертификат по умолчанию для работы с «Альтернативными доменными именами», если клиент поддерживает SNI. Вот документы AWS об этом:

https://docs.aws.amazon. com / AmazonCloudFront / latest / DeveloperGuide / cnames-https-special-ip-or-sni.html # cnames-https-sni

Я что-то неправильно понимаю?

По сути, я просто хочу иметь возможность использовать HTTPS через Cloudfront без необходимости платить 600 долларов в месяц, которые AWS взимает за выделенные IP-сертификаты.

3
задан 1 February 2018 в 19:05
1 ответ

@ceejayoz правильно сказал об использовании ACM (диспетчера сертификатов Amazon) для выполнения этой работы. В любом случае, у меня сейчас работает HTTPS, поэтому вот полный ответ, чтобы помочь другим (и моему будущему забывчивому я)

Вот шаги для настройки HTTPS с использованием SNI:

  1. Используйте ACM для создания сертификата для ваших доменов (это бесплатно)
  2. Подтвердите свое право собственности на домены (ACM сообщает вам это сделать)
  3. Перейдите в консоль Cloudfront, щелкните свой дистрибутив, нажмите «Изменить» на вкладке «Общие».
  4. В разделе «Сертификат SSL» теперь вы должны иметь возможность выбрать «Пользовательский сертификат SSL» (он отключен, если у вас нет сгенерирован сертификат)
  5. Выберите сертификат из раскрывающегося списка.
  6. В разделе «Поддержка клиентов SSL» убедитесь, что выбран вариант «Только клиенты, поддерживающие указание имени сервера (SNI)». (В противном случае с вас будет списана безбожная сумма денег)
  7. Сохраните изменения, и все должно быть красиво.

enter image description here

Для ясности, вот некоторая полезная информация о ценах, которую я нашел:

Я просмотрел мелкий шрифт на странице цен на Cloudfront и обнаружил еще одну полезную документацию: https://aws.amazon.com/cloudfront/custom-ssl-domains/

Важная строка в разделе «Пользовательский SSL SNI»:

«Для этой функции нет отдельной цены. Вы можете используйте SNI Custom SSL без предоплаты или ежемесячной платы за управление сертификатами; вы просто платите обычные тарифы Amazon CloudFront за передачу данных и запросы HTTPS ».

Вот несколько сбивающих с толку указаний из первых уст:

https: // docs .aws.amazon.com / AmazonCloudFront / latest / DeveloperGuide / cnames-and-https-procedure.html

2
ответ дан 3 December 2019 в 06:54

Теги

Похожие вопросы