it-swarm-vi.com

Có cách nào sử dụng HTTPS với CDN và CNAME của CloudFront không?

Chúng tôi sử dụng CDN CloudFront của Amazon với các CNAME tùy chỉnh được treo dưới tên miền chính (static1.example.com). Mặc dù chúng ta có thể phá vỡ diện mạo đồng phục này và sử dụng URL gốc123wigglyw00.cloudfront.net để sử dụng HTTPS, có cách nào khác không?

Amazon hoặc bất kỳ nhà cung cấp tương tự nào khác có cung cấp dịch vụ lưu trữ HTTPS CDN không?

TLS và mã hóa chọn lọc có sẵn để sử dụng ở đâu đó không (SNI: Chỉ định tên máy chủ)?

Ghi chú chân: giả sử rằng câu trả lời là không, nhưng chỉ với hy vọng ai đó biết.

CHỈNH SỬA: Hiện đang sử dụng Google App Engine https://developers.google.com/appengine/docs/ssl cho Lưu trữ CDN với sự hỗ trợ SSL.

16
Metalshark

CloudFront với CNAME và HTTPS không được hỗ trợ, hãy xem ghi chú đầu tiên trong tài liệu CloudFront CNAME .

Tôi không nghĩ rằng bất kỳ CDN chi phí thấp nào cũng có hỗ trợ cho CNAME và HTTPS cùng nhau, để làm điều đó họ sẽ phải có một số cách để bạn tải chứng chỉ không được mã hóa của mình lên mạng CDN của họ.

18
carson

XIN LƯU Ý CÁC EDITS & CẬP NHẬT DƯỚI ĐÂY

Khi tôi viết bài này (ngày 23 tháng 5 năm 2012), SSL được hỗ trợ thông qua URL phân phối CloudFront chỉ có. Có nghĩa là, bạn không thể CNAME URL SSL. Cụ thể, bạn có thể tham chiếu một mục qua SSL như:

https://[distribution].cloudfront.net/picture.jpg

nhưng không:

https://cdn.mydomain.com/picture.jpg

trong đó cdn.mydomain.com là một CNAME để [phân phối] .cloudfront.net. Hiện tại bạn sẽ nhận được lỗi SSL.

Điều này có nghĩa là bạn không thể sử dụng tên miền hoặc chứng chỉ SSL. Điều này có thể gây ra sự cố với các chính sách tên miền chéo trong trình duyệt cũng như thêm độ phức tạp để duy trì trang web.

Tôi đã được các nhân viên AWS đảm bảo rằng HTTPS hỗ trợ cho các CNAME phân phối có trong danh sách tính năng của họ nhưng nó cần hỗ trợ cộng đồng để ưu tiên. Để giúp đỡ trong nỗ lực này, vui lòng điền vào khảo sát của CloudFront (xem bên dưới) và lưu ý yêu cầu tính năng này. Nhân viên AWS sử dụng dữ liệu được thu thập từ khảo sát để lập kế hoạch và ưu tiên lộ trình CloudFront.

Hãy chắc chắn lưu ý rằng cần có hỗ trợ CNAME HTTPS khi bạn thực hiện Khảo sát CloudFront: http://aws.qualtrics.com/SE/?SID=SV_9yvAN5PK8abJIFK

EDIT: Nhận thấy một bài đăng từ ngày 11 tháng 6 năm 2012 rằng AWS đã cập nhật liên kết khảo sát:

Liên kết khảo sát mới: http://aws.qualtrics.com/SE/?SID=SV_e4eM1cRblPaccFS

Tôi nghĩ rằng đáng để dành thời gian để cung cấp cho họ phản hồi về việc biến CNAME + SSL thành một tính năng được hỗ trợ.

EDIT: Được công bố vào ngày 11 tháng 6 năm 2013, Các SSL SSL tùy chỉnh với IP chuyên dụng hiện được hỗ trợ với CloudFront trên AWS:

Xem thông báo tính năng trên Blog AWS: http://aws.typepad.com/aws/2013/06/custom-ssl-domain-names-root-domain-hosting-for-Amazon-cloudfront.html

Một điều cần cân nhắc trước khi tính đến việc đi tuyến đường này, bạn cần thấy giá trị đáng kể từ việc đi chệch khỏi https: // [phân phối] .cloudfront.net ​​tuyến đường vì giá là $ 600 USD mỗi tháng cho việc lưu trữ giấy chứng nhận SSL tùy chỉnh.

EDIT: Được công bố vào ngày 5 tháng 3 năm 2014, Các SSL SSL tùy chỉnh sử dụng Chỉ định tên máy chủ (SNI) hiện được hỗ trợ với CloudFront trên AWS - NO PHÍ THÊM:

AWS hiện hỗ trợ các SSL SSL tùy chỉnh thông qua SNI. Đây là LỚN vì nó mở ra khả năng tận dụng cơ sở hạ tầng (địa chỉ IP) hiện có của AWS. Như vậy, AWS không tính thêm phí cho dịch vụ này! Để tìm hiểu thêm, hãy đọc về nó trên bài đăng trên blog của AWS: http://aws.typepad.com/aws/2014/03/server-name-indication-sni-and-http-redirection-for-Amazon -cloudfront.html

Mặc dù vậy, một mục cần lưu ý, Chỉ định Tên Máy chủ (SNI) có một số nhược điểm cần được xem xét trước khi hoàn toàn dựa vào nó. Đặc biệt nó không được hỗ trợ bởi một số trình duyệt cũ hơn. Nếu muốn hiểu rõ hơn về điều này, hãy xem: https://stackoverflow.com/questions/5154596/is-ssl-sni-actingly- used-and-supported-in-browsers

EDIT: AWS đã công bố vào ngày 21 tháng 1 năm 2016, họ sẽ cung cấp các SSL SSL tùy chỉnh MIỄN PHÍ!

Để đọc về thông báo đầy đủ trên trang web AWS: https://aws <azon.com/bloss /aws/new-awes-cert ve-manager-deploy-ssltls-basing-ads-on -aws /

Amazon đã công bố một dịch vụ mới gọi là Trình quản lý chứng chỉ AWS, cung cấp chứng chỉ SSL/TLS miễn phí cho các tài nguyên AWS.

Các chứng chỉ này thường được mua từ các nhà cung cấp chứng chỉ của bên thứ ba như Symantec, Comodo và RapidSSL và có thể có giá từ $ 50 đến hàng trăm đô la, tùy thuộc vào mức độ xác minh danh tính được thực hiện.

Quá trình lấy chứng chỉ mới luôn có một chút lộn xộn, đòi hỏi phải tạo Yêu cầu ký chứng chỉ trên máy chủ được bảo vệ, gửi yêu cầu đó đến nhà cung cấp chứng chỉ, sau đó cài đặt chứng chỉ sau khi nhận được. Vì Amazon đang quản lý toàn bộ quá trình, tất cả những điều đó sẽ biến mất và chứng chỉ có thể nhanh chóng được cấp và cung cấp trên các tài nguyên AWS.

Có một vài hạn chế đối với các chứng chỉ. Amazon chỉ cung cấp chứng chỉ xác thực tên miền, một xác minh đơn giản trong đó xác thực tên miền diễn ra qua email. Nếu bạn muốn có chứng chỉ Xác thực mở rộng, bạn có thể gắn bó với các nhà cung cấp chứng chỉ hiện tại của họ. Ngoài ra, các chứng chỉ không thể được sử dụng để ký mã hoặc mã hóa email.

16
John Mark Mitchell