Amazon CloudFront
开发人员指南 (API 版本 2016-09-29)
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

支持的协议和密码

您可以为查看器和 CloudFront 之间的通信以及 CloudFront 和源之间的通信选择 HTTPS 设置:

  • 查看器和 CloudFront 之间 – 如果您要求在查看器和 CloudFront 之间使用 HTTPS,您还要选择安全策略,该策略确定查看器和 CloudFront 之间的通信可以使用的协议。此外,安全策略还确定 CloudFront 可使用哪种密码来加密它返回到查看器的内容。

  • CloudFront 和源之间 – 如果您要求在 CloudFront 和源之间使用 HTTPS,您还要选择 CloudFront 和源之间的通信使用的协议。您选择的协议将确定源可使用哪种密码来加密它返回到 CloudFront 的内容。

适用于查看器和 CloudFront 之间通信且支持的 SSL/TLS 协议和密码

要选择是否要求在查看器和 CloudFront 之间使用 HTTPS,请为 查看器协议策略 指定适用的值。

如果您选择要求使用 HTTPS,则您还要选择您希望 CloudFront 用于 HTTPS 连接的安全策略。安全策略确定两个设置:

  • CloudFront 与查看器通信所用的 SSL/TLS 协议

  • CloudFront 用来加密其返回到查看器的内容的密码

我们建议您指定 TLSv1.1_2016,除非您的用户使用的浏览器或设备不支持 TLSv1.1 或更高版本。如果您使用自定义 SSL 证书和 SNI,则必须使用 TLSv1 或更高版本。

要选择安全策略,请为 安全策略 指定合适的值。下表列出了每个安全策略中,CloudFront 可用的协议和密码。

查看器至少必须支持这些支持的密码中的一个,才能与 CloudFront 建立 HTTPS 连接。如果在 AWS Certificate Manager 中使用 SSL/TLS 证书,查看器必须支持 *-RSA-* 密码之一。CloudFront 按列出的顺序从查看器支持的密码中选择一种密码。另请参阅 OpenSSL 和 RFC 密码名称

安全策略
SSLv3 TLSv1.0 TLSv1_2016 TLSv1.1_2016 TLSv1.2_2018
支持的 SSL/TLS 协议
TLSv1.2
TLSv1.1
TLSv1
SSLv3
Ciphers Supported
ECDHE-RSA-AES128- GCM-SHA256
ECDHE-RSA-AES128-SHA256
ECDHE-RSA-AES128-SHA
ECDHE-RSA-AES256- GCM-SHA384
ECDHE-RSA-AES256-SHA384
ECDHE-RSA-AES256-SHA
AES128-GCM-SHA256
AES256-GCM-SHA384
AES128-SHA256
AES256-SHA
AES128-SHA
DES-CBC3-SHA
RC4-MD5

OpenSSL 和 RFC 密码名称

OpenSSL 和 IETF RFC 5246(传输层安全性 (TLS) 协议版本 1.2)为相同的密码使用不同的名称。下表为每个密码列出了 OpenSSL 名称及对应的 RFC 名称。

OpenSSL 密码名称 RFC 密码名称

ECDHE-RSA-AES128- GCM-SHA256

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

ECDHE-RSA-AES128-SHA256

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

ECDHE-RSA-AES128-SHA

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

ECDHE-RSA-AES256- GCM-SHA384

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

ECDHE-RSA-AES256-SHA384

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

ECDHE-RSA-AES256-SHA

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

AES128-GCM-SHA256

TLS_RSA_WITH_AES_128_GCM_SHA256

AES256-GCM-SHA384

TLS_RSA_WITH_AES_256_GCM_SHA384

AES128-SHA256

TLS_RSA_WITH_AES_128_CBC_SHA256

AES256-SHA

TLS_RSA_WITH_AES_256_CBC_SHA

AES128-SHA

TLS_RSA_WITH_AES_128_CBC_SHA

DES-CBC3-SHA

TLS_RSA_WITH_3DES_EDE_CBC_SHA

RC4-MD5

TLS_RSA_WITH_RC4_128_MD5

适用于 CloudFront 和源之间的通信且支持的 SSL/TLS 协议和密码

如果您选择要求在 CloudFront 和源之间使用 HTTPS,您可以决定安全连接允许使用哪个 SSL/TLS 协议,然后为 CloudFront 选择任何支持的密码(参阅下表)以建立到源的 HTTPS 连接。

CloudFront 可使用本节中列出的 ECDSA 或 RSA 密码将 HTTPS 请求转发到源服务器。源服务器至少必须支持这些密码中的其中一个,才能使 CloudFront 与源建立 HTTPS 连接。要了解 CloudFront 支持的两种类型的密码的更多信息,请参阅 关于 RSA 和 ECDSA 密码

注意

基于椭圆曲线的密码支持以下曲线:

  • prime256v1

  • secp384r1

OpenSSL 和 IETF RFC 5246(传输层安全性 (TLS) 协议版本 1.2)为相同的密码使用不同的名称。下表为每个密码列出了 OpenSSL 名称及对应的 RFC 名称。

支持的 RSA 密码

CloudFront 支持使用以下 RSA 密码来连接源:

OpenSSL 密码名称 RFC 密码名称

ECDHE-RSA-AES128-SHA256

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

ECDHE-RSA-AES256-SHA384

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

AES256-SHA

TLS_RSA_WITH_AES_256_CBC_SHA

AES128-SHA

TLS_RSA_WITH_AES_128_CBC_SHA

DES-CBC3-SHA

TLS_RSA_WITH_3DES_EDE_CBC_SHA

RC4-MD5

TLS_RSA_WITH_RC4_128_MD5

支持的 ECDSA 密码

CloudFront 支持使用以下 ECDSA 密码来连接源:

OpenSSL 密码名称 RFC 密码名称

ECDHE-ECDSA-AES256- GCM-SHA384

TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

ECDHE-ECDSA-AES256-SHA384

TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384

ECDHE-ECDSA-AES256-SHA

TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA

ECDHE-ECDSA-AES128- GCM-SHA256

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

ECDHE-ECDSA-AES128-SHA256

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256

ECDHE-ECDSA-AES128-SHA

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA