web-dev-qa-db-fra.com

Cloudfront servant sur un certificat SSL propre

est-ce que quelqu'un sait s'il est possible de servir avec CloudFront sur HTTPS avec votre propre certificat tout en utilisant votre propre nom de CName? Je ne peux même pas trouver un moyen de configurer mon propre certificat SSL sur S3 ... Donc, je ne sais pas si cela est même possible.

Mise à jour : Si une personne s'intéresse à une mise à jour de ce numéro - maxcdn.com offre pour héberger votre certificat SSL sur votre domaine pour seulement 59 $ de frais forfaitaires par mois.

ce n'est pas Amazon, mais elle prend même en charge tirer de votre serveur et hébergeant pour toujours ou si vous envoyez un en-tête de contrôle de cache pour une fois que vous spécifiez jusqu'à ce qu'il récupère à nouveau l'URL d'origine.

toute l'offre est assez soignée. :RÉ

35
Toby

J'ai examiné cette question de manière approfondie et non, il n'est pas possible d'utiliser HTTPS avec CNAMES, à moins que vous n'ayez pas capable d'ignorer les inadéquations du nom du client du côté client. HTTPS fonctionne avec des noms de godets "simples", mais CNAMES ne travaille que avec des noms de godets qui sont des domaines entièrement qualifiés.

AWS ajout toujours d'autres fonctionnalités, je peux donc les voir pouvoir servir des certificats personnalisés à un moment donné, mais il n'y a pas encore de soutien à cela.

Voir: http://stackoverflow.com/questions/3048236/AMAZON-S3-HTTTPS-SSL-IS-IT-POSSIBLE

edit: N'est toujours pas possible pour un accès direct à S3, mais il est possible à travers Cloudfront: http://aws.amazon.com/cloudfront/custom-ssl-domains/

28
Tim Sylvester

Veuillez noter les modifications et les mises à jour ci-dessous  Je suis en train de ressusciter cela parce que Amazon exécute une enquête (à partir de cette écriture) qui demande à ses clients des commentaires pour leur feuille de route de production.

Voir le message sur cette enquête étant disponible: https://forums.aws.amazon.com/thread.jspa?ThreadId=26488&tstart=

et le lien d'enquête directe: http://aws.qualtrics.com/se/?sid=sv_9yvan5pk8abjifk

Edit: remarquez un message du 11 juin 2012 que AWS avait mis à jour le lien d'enquête:

Voir le message sur cette enquête disponible: https://forums.aws.amazon.com/thread.jspa?messageid=363869

Nouveau lien d'enquête: http://aws.qualtrics.com/se/?sid=sv_e4em1crblpaccfs

Je pense que cela vaut le moment de leur fournir des commentaires sur la fabrication de CNAME + SSL une fonctionnalité prise en charge.

Modifier: Annoncé le 11 juin 2013, CERTS SSL personnalisé avec IPS dédié sont maintenant pris en charge avec Cloudfront sur AWS:

Voir l'annonce de fonctionnalités sur le blog AWS: http://aws.typepad.com/aws/2013/06/custom-ssl-domain-names-root-omain-hosting-for-amazon-cloudfront.html

Un élément de considération avant de compter sur cette route, vous devez voir une valeur significative de la déviation du HTTPS: // [DISTRIBUTION] .CLOUDFRONT.NET Itinéraire car la tarification est de 600 USD par mois pour l'hébergement Certs SSL personnalisés.

Modifier: Annoncé le 5 mars 2014, Certs SSL personnalisés à l'aide du nom de serveur Indication (SNI) sont maintenant pris en charge avec CloudFront sur AWS - Aucun frais supplémentaire:

Comme Wikichen a noté ci-dessous, AWS prend désormais en charge les certificats SSL personnalisés via SNI. Ceci est énorme car il ouvre la possibilité d'exploiter une infrastructure existante AWS '(adresses IP). En tant que tel, AWS ne facture pas de supplément pour ce service! Pour en savoir plus, lisez-le sur le point de vue du blog AWS: http://aws.typepad.com/aws/2014/03/server-name-indication-sni-and-http-redrake-for-amazon -cloudfront.html

Un élément qui doit être noté, l'indication du nom du serveur (SNI) a des inconvénients à prendre en compte avant de compter complètement. En particulier, il n'est pas pris en charge par certains navigateurs plus âgés. Si vous souhaitez comprendre cela mieux, voir: Sni est effectivement utilisé et pris en charge dans les navigateurs?

Modifier: AWS annoncé le 21 janvier 2016, ils fournissent gratuitement des certificats SSL personnalisés!

Pour en savoir plus sur l'annonce complète sur le site AWS: https://aws.amazon.com/blogs/aws/new-aws-certificate-manager-deploy-sssltls-based-apps-on-aws/

Amazon a annoncé un nouveau service appelé AWS Certificate Manager, offrant des certificats SSL/TLS gratuits pour les ressources AWS.

Ces certificats sont généralement achetés à partir de fournisseurs de certificats tiers tels que Symantec, Comodo et Rapidssl et peuvent coûter entre 50 et des centaines de dollars, en fonction du niveau de vérification de l'identité effectuée.

Le processus d'obtention d'un nouveau certificat a toujours été un peu désordonné, nécessitant la génération d'une demande de signature de certificat sur le serveur étant protégé, envoyant cette demande à un fournisseur de certificats, puis l'installation du certificat une fois qu'elle est reçue. Étant donné que Amazon gère tout le processus, tout cela disparaît et les certificats peuvent être rapidement émis et provisionnés sur des ressources AWS automatiquement.

Il y a quelques limitations aux certificats. Amazon fournit uniquement des certificats de domaine validés, une vérification simple où la validation du domaine a lieu par courrier électronique. Si vous souhaitez un certificat de validation étendu, vous pouvez coller avec leurs fournisseurs de certificats actuels. De plus, les certificats ne peuvent pas être utilisés pour la signature de code ou le cryptage par courrier électronique.

27
John Mark Mitchell

À partir d'aujourd'hui, vous pouvez utiliser votre propre certificat SSL avec AWS Cloudfront http://aws.typepad.com/aws/2013/06/custom-ssl-domain-names-root-domain-hosting-for-amazon -cloudfront.html

mais

  1. AWS doit approuver votre demande
  2. Vous payez 600 $ par mois (!) Pour chaque certificat SSL associé à une ou plusieurs distributions de CloudFront.
8
goldstein

Il est maintenant possible d'utiliser votre propre certificat SSL pour Cloudfront avec aucun coût supplémentaire. Donc, la charge de 600 $/m est partie.

De AWS Newsletter:

Vous pouvez maintenant utiliser vos propres certificats SSL avec Amazon Cloudfront sans frais supplémentaires avec Indication du nom du serveur (SNI) personnalisé SSL. SNI est pris en charge par la plupart des navigateurs modernes et fournit un moyen efficace de fournir du contenu sur HTTPS à l'aide de votre propre certificat de domaine et de SSL. Vous pouvez utiliser cette fonctionnalité sans frais supplémentaires pour la gestion des certificats; Vous payez simplement des tarifs Normal Amazon Cloudfront pour les demandes de transfert de données et de HTTPS.

1
schickling

Je veux juste mettre à jour cette question avec la dernière nouvelle AWS. Vous pouvez maintenant utiliser HTTPS avec CNAMES sur CloudFront car il prend en charge désormais des certificats SSL personnalisés à l'aide de l'indication du nom du serveur (SNI).

http://aws.typepad.com/aws/2014/03/server-name-indication-sni-and-http-redrake-for-amazon-cloudfront.html

Réussi à configurer une classe GRATUITE DWARTSSL CERT pour mon site statique distribué de My CloudFront sur S3 sans trop de problèmes (voir: Erreur de Cloudfront lors de la servition via HTTPS à l'aide de SNI ).

1
wikichen