我在 IAM 中有一个证书,注册到主机名 azb.hostname.com。然后我有 2 个带有自动主机名的 cloudfront 发行版,类似于 d727.cloudfront.net 和 d838.cloudfront.net。
默认情况下,Cloudfront 提供的证书不支持 TLSv1.1+,因此我必须分配自定义证书。我试图在其中之一上使用我的证书,然后...它有效!
我不明白的是为什么 cloudfront 在其默认主机名 *.cloudfront.net 上仍然可用:它不应该变得 azb.hostname.com 吗?我可以将相同的证书分配给它们吗?他们会继续工作吗?
CloudFront 将提供 *.cloudfront.net 即使您已添加自己的证书并将域添加到备用域中,这也是意料之中的。 如果您不希望这样做,则可能需要添加 WAF 来读取 HOST 标头,如果它是 d1234xxx.cloudfront.net,请阻止它。
您可以将IAM/Cert与多个发行版一起使用,这不会造成任何问题。
此外,访问 d123.cloudfront.net 支持 tls1.1 和 tls1.2,我认为最近,您也可以限制 tls 版本。