在 CloudFront 中使用 SSL/TLS 证书的配额(仅在查看器和 CloudFront 之间使用 HTTPS)
请注意在 CloudFront 中使用 SSL/TLS 证书的以下配额(以前称为限制)。这些配额仅适用于您使用 Amazon Certificate Manager (ACM) 预置的 SSL/TLS 证书,或导入 ACM 或上传到 IAM 证书存储供查看器和 CloudFront 之间进行 HTTPS 通信的 SSL/TLS 证书。
- 每个 CloudFront 分配的最大证书数量
-
最多可以将一个 SSL/TLS 证书与每个 CloudFront 分配关联。
- 您可以导入 ACM 或上载到 IAM 证书存储的证书的最大数量
-
如果您从第三方 CA 获得了 SSL/TLS 证书,则必须在下列位置之一存储证书:
-
Amazon Certificate Manager – 有关 ACM 证书数量的当前配额,请参阅《Amazon Certificate Manager 用户指南》中的配额。列出的限制是总数,包括您使用 ACM 预置的证书以及您导入 ACM 的证书。
-
IAM 证书存储 – 有关您可以上载到 IAM 证书存储以供 Amazon 账户使用的证书数的当前配额(以前称为限制),请参阅《IAM 用户指南》中的 IAM 和 STS 限制。您可以在 Amazon Web Services Management Console
中请求提高配额。
-
- 每个 Amazon 账户的证书的最大数量(仅限专用 IP 地址)
-
如果要使用专用 IP 地址处理 HTTPS 请求,请注意以下几点:
-
默认情况下,CloudFront 向您授权以供您的Amazon账户使用两个证书,一个用于日常使用,另一个用于您需要轮换证书以满足多个分配的情况。
-
如果您的Amazon账户需要两个以上的自定义 SSL/TLS 证书,请转至支持中心
并创建案例。注明您需要多少个证书的使用授权,并在请求中描述具体情况。我们将尽快更新您的账户。
-
- 对使用不同 Amazon 账户创建的 CloudFront 分配使用同一个证书
-
如果您使用的是第三方 CA,并且希望针对不同Amazon账户创建的多个 CloudFront 分配使用同一个证书,则必须将证书导入 ACM,或者为每个Amazon账户将其上传至 IAM 证书存储一次。
如果您使用的是 ACM 提供的证书,则不能将 CloudFront 配置为使用其他Amazon账户创建的证书。
- 为 CloudFront 和其他 Amazon 服务使用同一个证书
-
如果您从信任的证书颁发机构 (如 Comodo、DigiCert 或 Symantec) 购买了证书,则可以对 CloudFront 和其他Amazon服务使用同一个证书。如果要将证书导入到 ACM,您只需要导入一次即可供多个Amazon服务使用。
如果您使用的是 ACM 提供的证书,这些证书会存储在 ACM 中。
- 对多个 CloudFront 分配使用同一个证书
-
对于任何或所有您正用来提供 HTTPS 请求的 CloudFront 分配,您都可以使用同一个证书。请注意以下几点:
-
您可以使用同一个证书来使用专用 IP 地址处理请求以及使用 SNI 处理请求。
-
只能将一个证书与每个分配关联。
-
每个分配必须包含一个或多个备用域名,这些域名也会出现在证书的 Common Name (公用名) 字段或 Subject Alternative Names (使用者备用名称) 字段中。
-
如果您正在使用专用 IP 地址提供 HTTPS 请求并且已使用同一个Amazon账户创建您的所有分配,您可以为所有分配使用同一个证书,这样可以显著降低成本。CloudFront 对每个证书而不是每个分配收费。
例如,假设您使用同一个Amazon账户创建了三个分配,并且您对所有三个分配使用同一个证书。将仅针对您使用专用 IP 地址计算一次费用。
但是,如果您正在使用专用 IP 地址处理 HTTPS 请求并且正在使用同一个证书在不同的Amazon账户中创建 CloudFront 分配,则会向每个账户收取专用 IP 地址的使用费。例如,如果您使用三个不同的Amazon账户创建三个分配,并且您为所有三个分配使用同一个证书,则向每个账户收取专用 IP 地址的完整使用费。
-