


 解决方法
-----



HTTPS 通信失败可能由关联的 SSL 证书、安全组或网络访问控制列表 (ACL) 的问题导致。请确保您的分配和负载均衡器符合以下安全要求：


* 您必须在负载均衡器上安装了有效的 SSL 证书。如果您在安装了 SSL 证书后仍然收到 HTTPS 错误，[则排查 CloudFront 与自定义原始服务器之间的 SSL 连接问题](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/http-502-bad-gateway.html)。
* 如果您的 CloudFront 分配通过端口 443 连接到您的负载均衡器，则与负载均衡器关联的安全组必须允许端口 443 上来自 CloudFront IP 地址的流量。有关更新安全组的更多信息，请参阅[为经典负载均衡器配置安全组](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/elb-security-groups.html)或[应用程序负载均衡器的安全组](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-update-security-groups.html)。要仅允许附加到您的分配的安全组中的 CloudFront IP 地址，请使用 AWS 托管式前缀列表。此列表包含所有 CloudFront IP 地址，会在 IP 地址发生变更时自动更新。有关更多信息，请参阅[使用 Amazon CloudFront 的 AWS 托管式前缀列表限制对您的源的访问。](https://aws.amazon.com/blogs/networking-and-content-delivery/limit-access-to-your-origins-using-the-aws-managed-prefix-list-for-amazon-cloudfront/)
* 与您的负载均衡器的 Amazon Virtual Private Cloud（Amazon VPC）关联的[网络 ACL](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html) 必须允许 HTTPS 端口（通常为端口 443）上来自 CloudFront 的流量。


**注意：**应用程序负载均衡器可使用[服务器名称指示（SNI）支持具有智能选择功能的多个 TLS 证书](https://aws.amazon.com/blogs/aws/new-application-load-balancer-sni/)。如果您的 CloudFront 分配基于主机标头缓存，则验证应用程序负载均衡器拥有配置为相同名称的 TLS 证书。否则，Application Load Balancer 提供其默认证书，这可能不匹配与来自 CloudFront 的 ClientHello 消息关联的 SNI。





---




 相关信息
-----



[需要 HTTPS 以在 CloudFront 与您的自定义源之间进行通信](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https-cloudfront-to-custom-origin.html)







我在作为 Amazon CloudFront 分配源的经典负载均衡器或应用程序负载均衡器上配置了 HTTPS 和 HTTP 侦听器。CloudFront 与我的负载均衡器之间的 HTTPS 通信失败。我想解决 HTTPS 通信问题。

解决 CloudFront 分配与负载均衡器源之间的 HTTPS 通信问题

为什么我的 CloudFront 分配与负载均衡器之间的 HTTPS 连接失败？

网络和内容交付

为什么即使在我续订或重新导入证书之后，CloudFront 仍显示 Amazon 颁发的旧 SSL 证书？

如何在 Elastic Beanstalk 环境中向应用程序负载均衡器添加多个 SSL 证书？

为什么我的 CloudFront 分配与负载均衡器之间的 HTTPS 连接失败？

解决方法

相关信息

相关内容