如何将我的 CloudFront 分配配置为使用 SSL/TLS 证书？

解决方案

CloudFront 会为您的分配设定一个默认域名。这个域名看起来类似：d111111abcdef8.cloudfront.net。如果您使用默认域名，还可以使用 CloudFront 为您的分配选择的默认 SSL/TLS 证书。如果您使用不同的域名，则最佳实践是完成以下一个步骤：

• 向 AWS Certificate Manager（ACM）申请公共证书。
• 将证书导入 ACM。

这可以帮助您避免收到有关域名的证书警告。

如果您使用 Amazon 颁发的证书，请注意以下先决条件：

• 您必须在美国东部（弗吉尼亚州北部）AWS 区域申请证书。
• 您必须拥有使用和申请 ACM 证书的权限。

如果您在 CloudFront 中使用导入的证书，请注意以下先决条件：

• 您的密钥长度必须为 1024 位、2048 位或 3072 位，并且不能超过 3072 位。
  **注意：**ACM 会颁发包含最长 2048 位密钥的 RSA 证书。要使用 3072 位 RSA 证书，必须从外部获取该证书，然后将其导入 ACM。完成此操作后，即可在 CloudFront 中使用该证书。
• 您必须在美国东部（弗吉尼亚州北部）区域导入证书。
• 您必须拥有使用和导入 SSL/TLS 证书的权限。

注意：如果您缺少权限，则 CloudFront 控制台会在自定义 SSL 证书设置中显示缺少权限 acm:ListCertificates。如果您没有美国东部（弗吉尼亚州北部）的证书或密钥长度超过 3072 位，则自定义 SSL 证书将显示为灰色。
有关详细信息，请参阅将 SSL/TLS 证书与 CloudFront 配合使用的要求。

然后，将您的 CloudFront 分配配置为使用新证书，并要求查看者和 CloudFront 之间的通信要使用 HTTPS。有关更多信息，请参阅更新分配。

保存对 CloudFront 分配配置的更改后，CloudFront 会将更改传播到所有边缘站点。传播完成后，CloudFront 控制台中的 CloudFront 分配状态将从进行中更改为已部署。
如果您需要对 CloudFront 与您的自定义源之间的通信使用 HTTPS，那么您也可以在自定义源上使用 SSL/TLS 证书。

要更新您的 CloudFront 分配的设置，请参阅更新您的 CloudFront 分配。

相关信息

颁发和管理证书

如何解决在我的 CloudFront 分配中使用自定义 SSL 证书时遇到的问题？

客户端在尝试使用 HTTPS 连接访问我的网站时收到证书错误消息。如何解决此问题？