Có cách nào sử dụng HTTPS với CDN và CNAME của CloudFront không?


16

Chúng tôi sử dụng CDN CloudFront của Amazon với các CNAME tùy chỉnh được treo dưới tên miền chính (static1.example.com). Mặc dù chúng ta có thể phá vỡ diện mạo đồng phục này và sử dụng URL gốc123wigglyw00.cloudfront.net để sử dụng HTTPS, có cách nào khác không?

Amazon hoặc bất kỳ nhà cung cấp tương tự nào khác có cung cấp dịch vụ lưu trữ HTTPS CDN không?

TLS và mã hóa chọn lọc có sẵn để sử dụng ở đâu đó không (SNI: Chỉ định tên máy chủ)?

Lưu ý chân: giả sử rằng câu trả lời là không, nhưng chỉ với hy vọng ai đó biết.

EDIT : Hiện đang sử dụng Google App Engine https://developers.google.com/appengine/docs/ssl để lưu trữ CDN với hỗ trợ SSL.

Câu trả lời:


18

CloudFront với CNAME và HTTPS không được hỗ trợ, hãy xem ghi chú đầu tiên trong tài liệu CNAME của CloudFront .

Tôi không nghĩ rằng bất kỳ CDN chi phí thấp nào cũng có hỗ trợ cho CNAME và HTTPS cùng nhau, để làm điều đó họ sẽ phải có một số cách để bạn tải chứng chỉ không được mã hóa của mình lên mạng CDN của họ.


2
Hoặc nhà môi giới giống như cách Google cung cấp cấu hình DNS với Google Apps và eNom / GoDaddy. Có hy vọng trong tương lai với en.wikipedia.org/wiki/Server_Name_Inication Tôi đã tự hỏi liệu có nhà cung cấp nào đã bắt đầu thử nghiệm khả năng này chưa.
Metalshark

1
Lưu ý trong năm 2016: câu trả lời này đã lỗi thời, vui lòng xem câu trả lời của John Mark Mitchell bên dưới.
Benjamin

16

XIN LƯU Ý CÁC EDITS & CẬP NHẬT DƯỚI ĐÂY

Khi tôi viết bài này (ngày 23 tháng 5 năm 2012), SSL được hỗ trợ thông qua URL phân phối CloudFront chỉ có. Có nghĩa là, bạn không thể CNAME URL SSL. Cụ thể, bạn có thể tham chiếu một mục qua SSL như:

https://[distribution].cloudfront.net/picture.jpg

nhưng không:

https://cdn.mydomain.com/picture.jpg

trong đó cdn.mydomain.com là một CNAME để [phân phối] .cloudfront.net. Hiện tại bạn sẽ nhận được lỗi SSL.

Điều này có nghĩa là bạn không thể sử dụng tên miền hoặc chứng chỉ SSL. Điều này có thể gây ra sự cố với các chính sách tên miền chéo trong trình duyệt cũng như thêm độ phức tạp hoàn tác để bảo trì trang web.

Tôi đã được các nhân viên AWS đảm bảo rằng HTTPS hỗ trợ cho các CNAME phân phối có trong danh sách tính năng của họ nhưng nó cần hỗ trợ cộng đồng để ưu tiên. Để giúp đỡ trong nỗ lực này, vui lòng điền vào khảo sát của CloudFront (xem bên dưới) và lưu ý yêu cầu tính năng này. Nhân viên AWS sử dụng dữ liệu được thu thập từ khảo sát để lập kế hoạch và ưu tiên lộ trình CloudFront.

Hãy chắc chắn lưu ý rằng cần có hỗ trợ CNAME HTAME khi bạn tham gia Khảo sát CloudFront: http://aws.qualtrics.com/SE/?SID=SV_9yvAN5PK8abJIFK

EDIT: Nhận thấy một bài đăng từ ngày 11 tháng 6 năm 2012 rằng AWS đã cập nhật liên kết khảo sát:

Liên kết khảo sát mới: http://aws.qualtrics.com/SE/?SID=SV_e4eM1cRblPaccFS

Tôi nghĩ rằng đáng để dành thời gian để cung cấp cho họ phản hồi về việc biến CNAME + SSL thành một tính năng được hỗ trợ.

EDIT: Được công bố vào ngày 11 tháng 6 năm 2013, các SSL SSL tùy chỉnh với IP chuyên dụng hiện được hỗ trợ với CloudFront trên AWS:

Xem thông báo tính năng trên Blog AWS: http://aws.typepad.com/aws/2013/06/custom-ssl-domain-names-root-domain-hosting-for-amazon-cloudfront.html

Một điều cần cân nhắc trước khi tính đến việc đi tuyến đường này, bạn cần thấy giá trị đáng kể từ việc đi lệch khỏi tuyến đường https: // [phân phối] .cloudfront.net vì giá là $ 600 USD mỗi tháng để lưu trữ các gói SSL tùy chỉnh.

EDIT: Được công bố vào ngày 5 tháng 3 năm 2014, các SSL SSL tùy chỉnh sử dụng Chỉ định tên máy chủ (SNI) hiện được hỗ trợ với CloudFront trên AWS - KHÔNG TÍNH PHÍ THÊM:

AWS hiện hỗ trợ các SSL SSL tùy chỉnh thông qua SNI. Đây là LỚN vì nó mở ra khả năng tận dụng cơ sở hạ tầng (địa chỉ IP) hiện có của AWS. Như vậy, AWS không tính thêm phí cho dịch vụ này! Để tìm hiểu thêm, hãy đọc về nó trên bài đăng trên blog AWS: http://aws.typepad.com/aws/2014/03/server-name-indication-sni-and-http-redirection-for-amazon-cloudfront.html

Mặc dù vậy, một mục cần lưu ý, Chỉ định Tên Máy chủ (SNI) có một số nhược điểm cần được xem xét trước khi hoàn toàn dựa vào nó. Đặc biệt nó không được hỗ trợ bởi một số trình duyệt cũ hơn. Nếu muốn hiểu rõ hơn về điều này, hãy xem: /programming/5154596/is-ssl-sni-actual- used-and-support-in-browsers

EDIT: AWS đã công bố vào ngày 21 tháng 1 năm 2016, họ sẽ cung cấp các SSL SSL tùy chỉnh MIỄN PHÍ!

Để đọc về thông báo đầy đủ trên trang AWS: https://aws.amazon.com/bloss/aws/new-aws-certert-manager-deploy-ssltls-basing-apps-on-aws/

Amazon đã công bố một dịch vụ mới gọi là Trình quản lý chứng chỉ AWS, cung cấp chứng chỉ SSL / TLS miễn phí cho các tài nguyên AWS.

Các chứng chỉ này thường được mua từ các nhà cung cấp chứng chỉ của bên thứ ba như Symantec, Comodo và RapidSSL và có thể có giá từ $ 50 đến hàng trăm đô la, tùy thuộc vào mức độ xác minh danh tính được thực hiện.

Quá trình lấy chứng chỉ mới luôn có một chút lộn xộn, đòi hỏi phải tạo Yêu cầu ký chứng chỉ trên máy chủ được bảo vệ, gửi yêu cầu đó đến nhà cung cấp chứng chỉ, sau đó cài đặt chứng chỉ sau khi nhận được. Vì Amazon đang quản lý toàn bộ quá trình, tất cả những điều đó sẽ biến mất và chứng chỉ có thể nhanh chóng được cấp và cung cấp trên các tài nguyên AWS.

Có một vài hạn chế đối với các chứng chỉ. Amazon chỉ cung cấp chứng chỉ xác thực tên miền, một xác minh đơn giản trong đó xác thực tên miền diễn ra qua email. Nếu bạn muốn có chứng chỉ Xác thực mở rộng, bạn có thể gắn bó với các nhà cung cấp chứng chỉ hiện tại của họ. Ngoài ra, các chứng chỉ không thể được sử dụng để ký mã hoặc mã hóa email.


3
developers.google.com/appengine/docs/ssl tài liệu đó. Sau 2 năm cố gắng để AWS hỗ trợ tính năng này, được đề nghị bỏ phiếu cho nó khi một đối thủ đã phát hành tính năng này là quá ít quá muộn.
Metalshark

cmon AWS, tôi đồng ý với @Metalshark và mọi người về chủ đề này. Tôi vừa điền vào mẫu phản hồi dài vô lý của AWS Cloudfront để ủng hộ cho CNAME-HTTPS nhưng nếu Google App Engine cung cấp nó và câu hỏi này đã được 2 năm, bạn phải làm gì đó càng sớm càng tốt !!!
tim peterson

Tôi không thấy bất cứ điều gì trên trang Google App Engine về CDN. AWS đã cung cấp hỗ trợ SSL miễn phí cho mọi thứ khác, nhưng hỗ trợ CDN thì khó hơn. Đừng trích dẫn tôi, nhưng tôi nghi ngờ đó là vì có nhiều địa chỉ IP liên quan.
Rupert Rawnsley

Cảm ơn bạn đã cập nhật câu trả lời này, John. Tôi vừa xóa một loạt các bình luận lỗi thời đã được đưa vào câu trả lời. Có lẽ sẽ dễ dàng hơn để đọc câu trả lời nếu bạn chỉ xóa thông tin lỗi thời thay vì sử dụng tấn công. Lịch sử sửa đổi đầy đủ của câu trả lời của bạn có sẵn bằng cách nhấp vào liên kết hiển thị khi bạn chỉnh sửa câu trả lời lần cuối.
Stephen Ostermiller
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.