在 CloudFront 中使用 SSL/TLS 证书的配额(仅在查看器和 CloudFront 之间使用 HTTPS) - Amazon CloudFront
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

在 CloudFront 中使用 SSL/TLS 证书的配额(仅在查看器和 CloudFront 之间使用 HTTPS)

请注意在 CloudFront 中使用 SSL/TLS 证书的以下配额。这些配额仅适用于您使用 Amazon Certificate Manager (ACM) 预置的 SSL/TLS 证书,或导入 ACM 或上传到 IAM 证书存储供查看器和 CloudFront 之间进行 HTTPS 通信的 SSL/TLS 证书。

有关更多信息,请参阅 增加 SSL/TLS 证书的配额

每个 CloudFront 分配的最大证书数量

最多可以将一个 SSL/TLS 证书与每个 CloudFront 分配关联。

您可以导入 ACM 或上载到 IAM 证书存储的证书的最大数量

如果您从第三方 CA 获得了 SSL/TLS 证书,则必须在下列位置之一存储证书:

  • Amazon Certificate Manager – 有关 ACM 证书数量的当前配额,请参阅《Amazon Certificate Manager 用户指南》中的配额。列出的限制是总数,包括您使用 ACM 预置的证书以及您导入 ACM 的证书。

  • IAM 证书存储 – 有关您可以上载到 IAM 证书存储以供 Amazon 账户使用的证书数的当前配额(以前称为限制),请参阅《IAM 用户指南》中的 IAM 和 STS 限制。您可以在服务配额控制台中申请更高的配额。

每个 Amazon 账户的证书的最大数量(仅限专用 IP 地址)

如果要使用专用 IP 地址处理 HTTPS 请求,请注意以下几点:

  • 默认情况下,CloudFront 向您授权以供您的Amazon账户使用两个证书,一个用于日常使用,另一个用于您需要轮换证书以满足多个分配的情况。

  • 如果您的 Amazon 账户需要两个以上的自定义 SSL/TLS 证书,则可以在服务配额控制台中申请更高的配额。

对使用不同Amazon账户创建的 CloudFront 分配使用同一个证书

如果您使用的是第三方 CA,并且希望针对不同 Amazon 账户创建的多个 CloudFront 分配使用同一个证书,则必须将证书导入 ACM,或者为每个 Amazon 账户将其上传至 IAM 证书存储一次。

如果您使用的是 ACM 提供的证书,则不能将 CloudFront 配置为使用其他 Amazon 账户创建的证书。

为 CloudFront 和其他Amazon服务使用同一个证书

如果您从信任的证书颁发机构 (如 Comodo、DigiCert 或 Symantec) 购买了证书,则可以对 CloudFront 和其他 Amazon 服务使用同一个证书。如果要将证书导入到 ACM,您只需要导入一次即可供多个 Amazon 服务使用。

如果您使用的是 ACM 提供的证书,这些证书会存储在 ACM 中。

为多个 CloudFront 分配使用同一个证书

对于任何或所有您正用来提供 HTTPS 请求的 CloudFront 分配,您都可以使用同一个证书。请注意以下几点:

  • 您可以使用同一个证书来使用专用 IP 地址处理请求以及使用 SNI 处理请求。

  • 只能将一个证书与每个分配关联。

  • 每个分配必须包含一个或多个备用域名,这些域名也会出现在证书的公用名字段或主题备用名称字段中。

  • 如果您正在使用专用 IP 地址提供 HTTPS 请求并且已使用同一个 Amazon 账户创建您的所有分配,您可以为所有分配使用同一个证书,这样可以显著降低成本。CloudFront 对每个证书而不是每个分配收费。

    例如,假设您使用同一个 Amazon 账户创建了三个分配,并且您对所有三个分配使用同一个证书。将仅针对您使用专用 IP 地址计算一次费用。

    但是,如果您正在使用专用 IP 地址处理 HTTPS 请求并且正在使用同一个证书在不同的 Amazon 账户中创建 CloudFront 分配,则会向每个账户收取专用 IP 地址的使用费。例如,如果您使用三个不同的 Amazon 账户创建三个分配,并且您为所有三个分配使用同一个证书,则向每个账户收取专用 IP 地址的完整使用费。