如何設定 CloudFront 分佈以使用 SSL/TLS 憑證？

解決方法

CloudFront 會為您的分佈指派一個預設網域名稱。此網域名稱看起來類似於 d111111abcdef8.cloudfront.net。如果您使用預設網域名稱，則也可以使用 CloudFront 為您的分佈選取的預設 SSL/TLS 憑證。如果您使用不同的網域名稱，最佳實務是完成下列其中一個步驟：

• 向 AWS Certificate Manager (ACM) 請求公有憑證。
• 將憑證匯入至 ACM。

這可協助您避免關於網域名稱的憑證警告。

如果您使用 Amazon 核發的憑證，請注意下列先決條件：

• 您必須在美國東部 (維吉尼亞北部) AWS 區域請求憑證。
• 您必須具有使用和請求 ACM 憑證的許可。

如果您將匯入的憑證與 CloudFront 搭配使用，請注意下列先決條件：

• 您的金鑰長度必須為 1024 位元、2048 位元或 3072 位元，且不能超過 3072 位元。
  **注意：**ACM 會發行具有多達 2048 位元金鑰的 RSA 憑證。若要使用 3072 位元 RSA 憑證，您必須從外部取得該憑證，然後將其匯入 ACM。執行此操作之後，憑證便可供您與 CloudFront 搭配使用。
• 您必須在美國東部 (維吉尼亞北部) 區域匯入憑證。
• 您必須具有使用和匯入 SSL/TLS 憑證的許可。

注意：如果您缺少許可，則 CloudFront 主控台會在自訂 SSL 憑證設定中顯示缺少許可 acm:ListCertificates。如果您沒有美國東部 (維吉尼亞北部) 憑證，或您的金鑰大小超過 3072 位元，則自訂 SSL 憑證會變成灰色。
如需詳細資訊，請參閱將 SSL/TLS 憑證與 CloudFront 搭配使用的要求。

然後，設定 CloudFront 分佈以使用新憑證，並在檢視器與 CloudFront 之間要求 HTTPS。如需詳細資訊，請參閱更新分佈。

將變更儲存到 CloudFront 分佈組態後，CloudFront 會將這些變更傳播到所有邊緣節點。當傳播完成後，CloudFront 主控台中 CloudFront 分佈的狀態會從進行中變更為已部署。
如果您要求在 CloudFront 與自訂來源之間使用 HTTPS 進行通訊，則也可以在自訂來源上使用 SSL/TLS 憑證。

若要更新 CloudFront 分佈的設定，請參閱更新您的 CloudFront 分佈。

相關資訊

發行和管理憑證

如何對將自訂 SSL 憑證用於 CloudFront 分佈的相關問題進行疑難排解？

用戶端在嘗試使用 HTTPS 連線存取我的網站時收到憑證錯誤訊息。如何解決此問題？