AWS Certificate Manager: Kostenlose SSL-Zertifikate für CloudFront — armix.one

Ein relativ neuer Dienst von Amazon, der vielleicht noch nicht so bekannt ist, ist der Certificate Manager von AWS. Damit kann man sich von AWS kostenlos SSL/TLS-Zertifikate ausstellen lassen, um Daten verschlüsselt aus dem AWS-Netz auszuliefern.

Nur einen Haken hat die Sache mit den kostenlosen Zertifikaten: Man kann die privaten Schlüssel nicht herunter laden, die Zertifikate können nur in AWS genutzt werden. Um Daten mit HTTPS via CloudFront auszuliefern, sind sie aber optimal. Denn so kann man eine HTTPS-Verbindung zur eigenen CF-Custom-Domain (in meinem Fall cdn.n1cloud.net) aufbauen und muss nicht auf die „unschöne“ CloudFront-Standard-Domain (etwa d1lzrfr8ukuj4.cloudfront.net) zurück greifen.

Die Ausstellung der Zertifikate erfolgt über die bekannte AWS Console unter Security & Identity > Certificate Manager. Dort auf die Region US East (N. Virgina) wechseln und „Request a certificate“ anklicken. Nachdem man das Zertifikat beantragt hat, muss der Antrag nur noch per E-Mail vom Domaininhaber bestätigt werden. Anschließend kann man das Zertifikat einer CloudFront Distribution zuordnen.

Aber Achtung: In CF unbedingt die Einstellung „Custom SSL Client Support“ auf „Only Clients that Support Server Name Indication (SNI)“ belassen. Wählt man nämlich „All Clients“ aus, dann würde CF für das Zertifikat eine dedizierte IP-Adresse (pro Edge-Location?) vergeben — und das kostet 600,- USD pro Monat!


Originally published at armix.one on January 24, 2016.