Помимо безопасной доставки контента по протоколу HTTPS из всех своих периферийных местоположений, Amazon CloudFront предоставляет клиентам три дополнительные возможности ускорения работы веб-сайта в целом. Кроме безопасной доставки с периферии, можно также настроить CDN для вызова источника с помощью подключений по протоколу HTTPS, чтобы обеспечить полное шифрование данных при их передаче от источника к конечным пользователям.
По умолчанию доставка контента к средствам просмотра по протоколу HTTPS происходит с использованием в URL-адресах доменного имени базы раздачи CloudFront, например https://dxxxxx.cloudfront.net/image.jpg. Если необходимо доставить контент по протоколу HTTPS с использованием собственного доменного имени и собственного сертификата SSL, можно применить одну из возможностей поддержки собственных сертификатов SSL.
Возможности использования собственных сертификатов SSL в Amazon CloudFront
Собственные сертификаты SSL с SNI
Собственные сертификаты SSL с Server Name Indication (SNI) работают за счет SNI-расширения протокола TLS (безопасность транспортного уровня), которое позволяет множеству доменов передавать SSL-трафик через один IP-адрес. Amazon CloudFront осуществляет доставку контента из каждого периферийного местоположения, обеспечивая такой же уровень безопасности, как и собственные сертификаты SSL с выделенными IP-адресами (см. ниже).
При использовании собственных сертификатов SSL с SNI контент может оказаться недоступным для некоторых пользователей, поскольку некоторые устаревшие браузеры не поддерживают технологию SNI и не смогут установить подключение с CloudFront для загрузки контента в версии HTTPS. Дополнительные сведения об SNI, в том числе список поддерживаемых браузеров, см. на странице вопросов и ответов.
Отдельные цены на использование этой возможности не указаны. Можно использовать собственные сертификаты SSL с SNI без авансовых или ежемесячных платежей за управление сертификатами. При этом оплата осуществляется по обычным тарифам Amazon CloudFront за передачу данных и запросы HTTPS.
Установка не представляет никаких сложностей. Следуйте инструкциям CloudFront Developer Guide, чтобы обеспечить быструю и безопасную передачу контента.
Собственные сертификаты SSL с выделенными IP‑адресами
Если необходимо доставить контент браузерам, которые не поддерживают SNI, можно использовать собственные сертификаты SSL с выделенными IP-адресами. Для обеспечения этой возможности сеть доставки контента Amazon назначает выделенные IP-адреса для передачи SSL-контента в каждом периферийном местоположении.
Чтобы воспользоваться поддержкой собственных сертификатов SSL с выделенными IP‑адресами, загрузите сертификат SSL и с помощью консоли управления AWS свяжите его с базами раздачи CloudFront. Если с аккаунтом AWS требуется связать более двух собственных сертификатов SSL, опишите свой пример использования сервиса с указанием требуемого количества собственных сертификатов SSL в форме запроса на увеличение лимитов CloudFront.
Рассчитать размер оплаты за использование собственных сертификатов SSL с выделенными IP-адресами очень просто. В связи с дополнительными затратами на выделение IP-адресов для таких сертификатов SSL взимается фиксированная ежемесячная плата в размере 600 USD за каждый собственный сертификат SSL, связываемый с базами раздачи сети доставки контента. Эта плата пропорционально распределяется по количеству часов. Например, если собственный сертификат SSL связан хотя бы с одной базой раздачи CloudFront всего на 24 часа (т. е. 1 сутки) в июне, суммарная стоимость использования сертификата SSL в июне составит (1 день / 30 дней) * 600 USD = 20 USD. Подробные сведения о стоимости использования собственных сертификатов SSL см. на странице цен CloudFront.
Дополнительную информацию о возможностях использования собственных сертификатов SSL см. в CloudFront Developer Guide.
Узнайте, как начать работу с Amazon CloudFront бесплатно