Cloudfront obsługujący własny certyfikat SSL

PROSZĘ ZWRÓCIĆ UWAGĘ NA ZMIANY I AKTUALIZACJE PONIŻEJ wskrzeszam to, ponieważ Amazon prowadzi ankietę (w momencie pisania tego tekstu), która pyta klientów o opinie na temat ich planu produkcji.

Zobacz post na temat tej ankiety: https://forums.aws.amazon.com/thread.jspa?threadID=26488&tstart=30

I bezpośredni link do ankiety: http://aws.qualtrics.com/SE/?SID=SV_9yvAN5PK8abJIFK

EDIT: zauważyłem post z 11 czerwca 2012 AWS zaktualizował link do ankiety:

Zobacz post na temat tej ankiety: https://forums.aws.amazon.com/thread.jspa?messageID=363869

Nowy Link Do Ankiety: http://aws.qualtrics.com/SE/?SID=SV_e4eM1cRblPaccFS

myślę, że warto poświęcić im czas, aby przekazać im opinię na temat uczynienia CNAME + SSL obsługiwaną funkcją.

EDIT: ogłoszono 11 czerwca 2013, niestandardowe certyfikaty SSL z dedykowane adresy IP są teraz obsługiwane przez CloudFront na AWS:

Zobacz ogłoszenie na blogu AWS: http://aws.typepad.com/aws/2013/06/custom-ssl-domain-names-root-domain-hosting-for-amazon-cloudfront.html

Jedna kwestia do rozważenia zanim liczysz na przejście tej trasy, musisz zobaczyć znaczącą wartość z odchylenia od https://[Dystrybucja]. cloudfront.net trasa, ponieważ cena wynosi 600 USD miesięcznie za hosting niestandardowego SSL certs.

EDIT: ogłoszono 5 marca 2014 r., niestandardowe Certy SSL wykorzystujące oznaczenie nazwy serwera (SNI) są teraz obsługiwane przez CloudFront na AWS - BEZ DODATKOWYCH OPŁAT:

Jak wspomniano poniżej, AWS obsługuje teraz niestandardowe Certy SSL poprzez SNI. Jest to ogromne, ponieważ otwiera możliwość wykorzystania istniejącej infrastruktury AWS (adresy IP). W związku z tym AWS nie pobiera dodatkowych opłat za tę usługę! Aby dowiedzieć się więcej, przeczytaj o tym na blogu AWS: http://aws.typepad.com/aws/2014/03/server-name-indication-sni-and-http-redirection-for-amazon-cloudfront.html

Jedna z rzeczy, która powinna być zauważona, Server Name Indication (SNI) ma pewne wady, które należy rozważyć przed całkowitym oparciem się na niej. W szczególności nie jest obsługiwany przez niektóre starsze przeglądarki. Jeśli chcesz to lepiej zrozumieć, zobacz: czy SNI jest rzeczywiście używany i obsługiwany w przeglądarkach?

EDIT: AWS zapowiedziany 21 stycznia 2016, dostarczają niestandardowe Certyfikaty SSL za darmo!

Aby przeczytać o pełnym ogłoszeniu na stronie AWS: https://aws.amazon.com/blogs/aws/new-aws-certificate-manager-deploy-ssltls-based-apps-on-aws/

Amazon ogłosił nową usługę o nazwie AWS Certificate Manager, oferującą bezpłatne certyfikaty SSL / TLS dla zasobów AWS.

Certyfikaty te są zwykle kupowane od zewnętrznych dostawców certyfikatów, takich jak Symantec, Comodo i RapidSSL i mogą kosztować w dowolnym miejscu od $50 do setek dolarów, w zależności od poziomu przeprowadzonej weryfikacji tożsamości.

Proces uzyskiwania nowego certyfikatu zawsze był nieco kłopotliwy, wymagając wygenerowania żądania podpisania certyfikatu na chronionym serwerze, wysłania tego żądania do dostawcy certyfikatu, a następnie zainstalowania certyfikatu po jego otrzymaniu. Ponieważ Amazon zarządza całym procesem, wszystko to znika, a certyfikaty można szybko wydawać i aprowizować w AWS zasoby automatycznie.

Istnieje kilka ograniczeń dotyczących certyfikatów. Amazon zapewnia tylko certyfikaty zwalidowane na domenę, prostą weryfikację, w której Walidacja domeny odbywa się za pośrednictwem poczty e-mail. Jeśli chcesz uzyskać certyfikat rozszerzonej walidacji, możesz pozostać przy aktualnych dostawcach certyfikatów. Ponadto certyfikatów nie można używać do podpisywania kodu ani szyfrowania poczty e-mail.

Od dziś możesz używać własnego certyfikatu SSL z AWS CloudFront http://aws.typepad.com/aws/2013/06/custom-ssl-domain-names-root-domain-hosting-for-amazon-cloudfront.html

ale

1. AWS musi zatwierdzić Twoją prośbę
Płacisz 600 $miesięcznie (!) dla każdego certyfikatu SSL powiązanego z jedną lub kilkoma dystrybucjami CloudFront.

Chcę tylko zaktualizować to pytanie o najnowsze wiadomości AWS. Możesz teraz używać HTTPS z CNAMEs na CloudFront, ponieważ obsługuje teraz niestandardowe certyfikaty SSL przy użyciu wskazania nazwy serwera (SNI).

Http://aws.typepad.com/aws/2014/03/server-name-indication-sni-and-http-redirection-for-amazon-cloudfront.html

Udało się skonfigurować darmowy certyfikat Startssl klasy 1 dla mojej rozproszonej statycznej witryny CloudFront na S3 bez większych problemów (zobacz: błąd CloudFront podczas serwowania przez HTTPS przy użyciu SNI ).

Teraz Można używać własnego certyfikatu SSL dla Cloudfront z bez dodatkowych kosztów . Więc opłata 600$ / m przepadła.

Z biuletynu AWS:

Możesz teraz używać własnych certyfikatów SSL Z Amazon CloudFront bez dodatkowych opłat z niestandardowym SSL wskazaniem nazwy serwera (SNI). SNI jest obsługiwany przez większość nowoczesnych przeglądarek i zapewnia skuteczny sposób dostarczania treści przez HTTPS przy użyciu własnej domeny i certyfikatu SSL. Możesz korzystać z tej funkcji z bez dodatkowych opłat za zarządzanie certyfikatami; po prostu płacisz normalne stawki Amazon CloudFront za przesyłanie danych i żądania HTTPS.