Domínios alternativos da Cloudfront usando SNI para HTTPS

2

Estou tentando usar o Cloudfront para exibir um bucket S3 via HTTPS usando um "Nome de domínio alternativo", mas estou recebendo este erro quando carrego o site em um navegador:

NET::ERR_CERT_COMMON_NAME_INVALID

This server could not prove that it is example.com; its security
certificate is from *.cloudfront.net. This may be caused by a
misconfiguration or an attacker intercepting your connection.

Esse erro faz sentido, mas pelo que eu entendo, o Cloudfront deve de alguma forma ser capaz de usar o certificado padrão para trabalhar com "Nomes de Domínio Alternativos", desde que o cliente suporte o SNI. Aqui estão os documentos da AWS sobre isso:

link

Estou entendendo mal alguma coisa?

Basicamente, eu só quero ser capaz de ter HTTPS através da Cloudfront sem ter que pagar os $ 600 / mês que a AWS cobra pelos certificados IP dedicados.

    
por twiz 01.02.2018 / 17:00

1 resposta

1

@ceejayoz estava correto sobre o uso do ACM (Amazon Certificate Manager) para fazer isso funcionar. De qualquer forma, eu tenho HTTPS trabalhando agora, então aqui está uma resposta completa para ajudar os outros (e meu futuro eu esquecido)

Aqui estão os passos para configurar o HTTPS usando o SNI:

  1. Use o ACM para gerar um certificado para seus domínios (isso é gratuito)
  2. Confirme sua propriedade dos domínios (o ACM lhe diz para fazer isso)
  3. Vá para o console do Cloudfront, clique em sua distribuição, clique em editar na guia "geral".
  4. Em "Certificado SSL", você agora deve poder selecionar "Certificado SSL personalizado" (Isso estará desativado se você não tiver gerado um certificado)
  5. Selecione seu certificado na caixa suspensa.
  6. Em "Custom SSL Client Support", certifique-se de que "Somente clientes que suportam a Indicação do nome do servidor (SNI)" estejam selecionados. (Caso contrário, você será cobrado uma quantia de dinheiro ímpio)
  7. Salve suas alterações e todas devem ser peachy.

Apenasparaesclarecer,aquiestãoalgumasinformaçõesdepreçosúteisqueencontrei:

AnaliseiaboaimpressãonapáginadepreçosdoCloudfrontedescobriumadocumentaçãomaisútil: link

A linha importante em "SNI Custom SSL" é:

"Não há preços separados para esse recurso. Você pode usar o SSL personalizado do SNI sem taxas adiantadas ou mensais para o gerenciamento de certificados; basta pagar taxas normais do Amazon CloudFront por solicitações de transferência de dados e HTTPS."

Aqui estão algumas instruções confusas da boca do cavalo:

link

    
por 01.02.2018 / 20:46