Cloudfront, обслуживающий собственный SSL-сертификат

Ответ 1

Я подробно рассмотрел это, и нет, в настоящее время невозможно использовать HTTPS с CNAME, если вы не можете игнорировать несоответствия имени сертификата на стороне клиента. HTTPS работает с "простыми" именами ковша, но CNAME работают только с именами ведра, которые являются полностью квалифицированными доменами.

AWS всегда добавляет новые функции, поэтому я вижу, что они могут обслуживать пользовательские сертификаты в какой-то момент, но пока нет поддержки.

Ответ 2

ОБРАТИТЕ ВНИМАНИЕ РЕДАКТОРЫ И ОБНОВЛЕНИЯ НИЖЕ Я воскрешаю это, потому что Amazon проводит опрос (начиная с этого письма), который спрашивает клиентов о обратной связи для своей дорожной карты.

См. публикацию в этом опросе: https://forums.aws.amazon.com/thread.jspa?threadID=26488&tstart=30

и ссылка прямого опроса: http://aws.qualtrics.com/SE/?SID=SV_9yvAN5PK8abJIFK

EDIT: замечено сообщение от 11 июня 2012 года о том, что AWS обновила ссылку на опрос:

См. публикацию в этом опросе: https://forums.aws.amazon.com/thread.jspa?messageID=363869

Новая ссылка для опроса: http://aws.qualtrics.com/SE/?SID=SV_e4eM1cRblPaccFS

Я думаю, что стоит обратить внимание на то, что CNAME + SSL поддерживает поддерживаемую функцию.

EDIT: Объявлено 11 июня 2013 года, пользовательские SSL-сертификаты с выделенными IP-адресами теперь поддерживаются CloudFront на AWS:

См. объявление функции в блоге AWS: http://aws.typepad.com/aws/2013/06/custom-ssl-domain-names-root-domain-hosting-for-amazon-cloudfront.html

Прежде чем рассчитывать на этот маршрут, вы должны увидеть значительную ценность от отклонения от маршрута https://[distribution].cloudfront.net в качестве цена составляет 600 долларов США в месяц за размещение пользовательских сертификатов SSL.

EDIT: объявлено 5 марта 2014 года, пользовательские сертификаты SSL, использующие указатель имени сервера (SNI), теперь поддерживаются CloudFront на AWS - NO ADDITIONAL CHARGE:

Как указано ниже, AWS теперь поддерживает пользовательские SSL-сертификаты через SNI. Это ОГРОМНОЕ, поскольку оно открывает возможность использования существующей инфраструктуры AWS (IP-адресов). Таким образом, AWS не взимает дополнительную плату за эту услугу! Чтобы узнать больше, прочитайте об этом в блоге в блоге AWS: http://aws.typepad.com/aws/2014/03/server-name-indication-sni-and-http-redirection-for-amazon-cloudfront.html

Один элемент, который следует отметить, хотя указатель имени сервера (SNI) имеет некоторые недостатки, которые следует учитывать, прежде чем полностью полагаться на него. В частности, некоторые старые браузеры не поддерживаются. Если вы хотите это лучше понять, см.: Используется ли SNI и поддерживается в браузерах?

EDIT: AWS анонсировано 21 января 2016 года, они бесплатно предоставляют специальные сертификаты SSL

Чтобы узнать о полном объявлении на сайте AWS: https://aws.amazon.com/blogs/aws/new-aws-certificate-manager-deploy-ssltls-based-apps-on-aws/

Amazon анонсировала новую службу под названием AWS Certificate Manager, предлагающую бесплатные сертификаты SSL/TLS для ресурсов AWS.

Эти сертификаты обычно приобретаются у сторонних поставщиков сертификатов, таких как Symantec, Comodo и RapidSSL, и могут стоить от 50 до сотен долларов в зависимости от уровня проверки подлинности.

Процесс получения нового сертификата всегда был немного беспорядочным, требуя генерации запроса на подпись сертификата на защищаемом сервере, отправки этого запроса поставщику сертификатов и последующей установки сертификата после его получения. Поскольку Amazon управляет всем процессом, все это уходит, и сертификаты могут быть быстро выпущены и обеспечены ресурсами AWS автоматически.

Есть несколько ограничений для сертификатов. Amazon предоставляет только сертифицированные сертификаты домена, это простая проверка, когда проверка домена происходит по электронной почте. Если вы хотите получить сертификат расширенной проверки, вы можете придерживаться существующих поставщиков сертификатов. Кроме того, сертификаты не могут использоваться для шифрования кода или шифрования электронной почты.

Ответ 3

Начиная с сегодняшнего дня вы можете использовать свой собственный сертификат SSL с AWS CloudFront http://aws.typepad.com/aws/2013/06/custom-ssl-domain-names-root-domain-hosting-for-amazon-cloudfront.html

но

• AWS должен подтвердить ваш запрос
• Вы платите $600 в месяц (!) за каждый сертификат SSL, связанный с одним или несколькими дистрибутивами CloudFront.

Ответ 4

Теперь можно использовать собственный SSL-сертификат для Cloudfront с без дополнительных затрат. Таким образом, плата за 600 $/м пропала.

Из информационного бюллетеня AWS:

Теперь вы можете использовать свои собственные SSL-сертификаты с Amazon CloudFront без дополнительной оплаты с помощью пользовательского SSL-указателя сервера (SNI). SNI поддерживается большинством современных браузеров и обеспечивает эффективный способ доставки контента через HTTPS с использованием собственного домена и сертификата SSL. Вы можете использовать эту функцию без дополнительной платы за управление сертификатами; вы просто платите нормальные тарифы Amazon CloudFront для передачи данных и HTTPS-запросов.

Ответ 5

Просто хочу обновить этот вопрос с помощью последних новостей AWS. Теперь вы можете использовать HTTPS с CNAME на CloudFront, так как теперь он поддерживает пользовательские SSL-сертификаты, используя имя сервера (SNI).

http://aws.typepad.com/aws/2014/03/server-name-indication-sni-and-http-redirection-for-amazon-cloudfront.html

Удалось установить бесплатный сертификат Class 1 StartSSL для моего распределенного статического сайта CloudFront на S3 без особых проблем (см. Ошибка CloudFront при обслуживании через HTTPS с использованием SNI).