為什麼我的 CloudFront 分佈和負載平衡器之間的 HTTPS 連線會失敗?
1 分的閱讀內容
0
我在 Classic Load Balancer 或 Application Load Balancer 上設定了 HTTPS 和 HTTP 接聽程式,做為我的 Amazon CloudFront 分佈的原始伺服器。CloudFront 和我的負載平衡器之間的 HTTPS 通訊失敗。我想要解決 HTTPS 通訊問題。
解決方法
HTTPS 通訊失敗可能是因為相關聯的 SSL 憑證、安全群組或網路存取控制清單 (ACL) 發生問題。請確定您的分佈和負載平衡器符合下列安全需求:
- 您必須在負載平衡器上安裝有效的 SSL 憑證。如果您在安裝 SSL 憑證後仍然收到 HTTPS 錯誤訊息,請對 CloudFront 與自訂原始伺服器之間的 SSL 連線問題進行疑難排解。
- 如果您的 CloudFront 分佈連線到連接埠 443 上的負載平衡器,則與負載平衡器相關聯的安全群組必須允許來自 CloudFront IP 地址的連接埠 443 上的流量。如需更新安全群組的詳細資訊,請參閱為 Classic Load Balancer 設定安全群組或為 Application Load Balancer 設定安全群組。若只要允許安全群組中的 CloudFront IP 地址連接到您的分佈,請使用 AWS 受管字首清單。此清單包含所有 CloudFront IP 地址,如果 IP 地址有任何變更,則會自動更新。如需詳細資訊,請參閱使用適用於 Amazon CloudFront 的 AWS 受管字首清單限制對您原始伺服器的存取。
- 與負載平衡器的 Amazon Virtual Private Cloud (Amazon VPC) 相關聯的網路 ACL 必須允許來自 HTTPS 連接埠 (通常為連接埠 443) 上的 CloudFront 流量。
**注意:**Application Load Balancers 使用伺服器名稱指示 (SNI) 支援具有智慧選取功能的多個 TLS 憑證。如果您的 CloudFront 分佈根據託管標頭快取,請驗證 Application Load Balancer 具有設定相同名稱的 TLS 憑證。否則,Application Load Balancer 會提供其預設憑證,該憑證可能與來自 CloudFront 的 ClientHello 訊息相關聯的 SNI 不相符。
相關資訊
AWS 官方已更新 1 年前
沒有評論
相關內容
- 已提問 3 個月前
- AWS 官方已更新 10 個月前
- AWS 官方已更新 2 年前
- AWS 官方已更新 9 個月前
- AWS 官方已更新 3 年前