Amazon CloudFront
开发人员指南 (API 版本 2016-09-29)
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

在 CloudFront 中使用 SSL/TLS 证书的限制(仅在查看器和 CloudFront 之间使用 HTTPS)

请注意在 CloudFront 中使用 SSL/TLS 证书的以下限制。这些限制仅适用于您使用 AWS Certificate Manager (ACM) 预置的 SSL/TLS 证书,或者导入到 ACM 或上传到 IAM 证书存储以用于查看器和 CloudFront 之间的 HTTPS 通信的 SSL/TLS 证书。

每个 CloudFront 分配的最大证书数量

最多可以将一个 SSL/TLS 证书与每个 CloudFront 分配关联。

您可以导入到 ACM 或上传到 IAM 证书存储的最大证书数

如果您从第三方 CA 获得了 SSL/TLS 证书,您需要在下面其中一个位置存储证书:

  • AWS Certificate Manager – 有关 ACM 证书数量的当前限制,请参阅 AWS Certificate Manager 用户指南 中的限制。列出的限制是总数,包括使用 ACM 预置的证书以及导入到 ACM 的证书。

  • IAM 证书存储 – 有关您可以上传到 IAM 证书存储以供 AWS 账户使用的证书数量的当前限制,请参阅 IAM 用户指南 中的 IAM 实体和文件的限制。要请求更高的限制,请参阅请求增加 IAM 限制

每个 AWS 账户的证书的最大数量 (仅限专用 IP 地址)

如果要使用专用 IP 地址处理 HTTPS 请求,请注意以下几点:

  • 默认情况下,CloudFront 向您授权以供您的 AWS 账户使用两个证书,一个用于日常使用,另一个用于您需要轮换证书以满足多个分配的情况。

  • 如果您已经使用此功能,但您需要增加自定义 SSL/TLS 证书 (供您的 AWS 账户使用) 的数量,请转到支持中心并创建案例。注明您需要多少个证书的使用授权,并在请求中描述具体情况。我们将尽快更新您的账户。

针对使用不同 AWS 账户创建的 CloudFront 分配使用同一个证书

如果您使用的是第三方 CA,并且希望在使用不同 AWS 账户创建的多个 CloudFront 分配中使用同一个证书,您必须针对每个 AWS 账户将证书导入到 ACM 或上传到 IAM 证书存储一次。

如果您使用 ACM 提供的证书,则不能将 CloudFront 配置为使用其他 AWS 账户创建的证书。

对 CloudFront 和其他 AWS 服务使用同一个证书(仅 IAM 证书存储)

如果您从信任的证书颁发机构 (如 Comodo、DigiCert 或 Symantec) 购买了证书,您可以对 CloudFront 和其他 AWS 服务使用同一个证书。如果要将证书导入到 ACM,您只需要导入一次即可供多个 AWS 服务使用。

如果您使用 ACM 提供的证书,这些证书将存储在 ACM 中。

在多个 CloudFront 分发中使用同一个证书

对于任何或所有您正用来处理 HTTPS 请求的 CloudFront 分发,您都可以使用同一个证书。请注意以下几点:

  • 您可以使用同一个证书来使用专用 IP 地址处理请求以及使用 SNI 处理请求。

  • 只能将一个证书与每个分配关联。

  • 每个分配必须包含一个或多个备用域名,这些域名也会出现在“公用名”字段或“使用者备用名称”字段中。

  • 如果您使用专用 IP 地址处理 HTTPS 请求,并且已使用同一个 AWS 账户创建所有分配,您可以在所有分配中使用同一个证书,这可显著降低成本。CloudFront 对每个证书而不是每个分配收费。

    例如,假设您使用同一个 AWS 账户创建了三个分配,并且您对所有三个分配使用同一个证书。将仅针对您使用专用 IP 地址计算一次费用。

    但是,如果您正在使用专用 IP 地址处理 HTTPS 请求并且正在使用同一个证书在不同的 AWS 账户中创建 CloudFront 分配,则对每个账户都收取使用专用 IP 地址的费用。例如,如果您使用三个不同的 AWS 账户创建三个分配,并且您为所有三个分配使用同一个证书,则对每个账户都收取使用专用 IP 地址的完整费用。