【发布时间】:2012-06-27 09:58:39
【问题描述】:
我正在使用 Amazon S3 存储桶通过我的 .NET 应用程序上传和下载数据。现在我的问题是:我想使用 SSL 访问我的 S3 存储桶。是否可以为 Amazon s3 存储桶实施 SSL?
【问题讨论】:
标签: ssl amazon-s3 amazon-web-services bucket
【发布时间】:2012-06-27 09:58:39
【问题描述】:
您可以像这样通过 SSL 访问您的文件:
https://s3.amazonaws.com/bucket_name/images/logo.gif
如果您为存储桶使用自定义域,您可以将 S3 和 CloudFront 与您自己的 SSL 证书一起使用(或通过 Amazon Certificate Manager 生成免费证书):http://aws.amazon.com/cloudfront/custom-ssl-domains/
【讨论】:
-
这并不完全正确。您可以使用不带点的存储桶名称:this-is-my-awesome-bucket.s3.amazonaws.com Amazon 具有通配符证书。由于您不能使用点,因此您不能让 CNAME 域指向您的存储桶。
-
注意包含句点的存储桶名称! SSL 无法在 iOS 设备上运行,但在 Chrome 中运行良好。见stackoverflow.com/questions/3048236/…
-
Amazon CloudFront 将为您完成这项工作。
-
@Docunext 问题是没有点的存储桶名称使得使用自定义 DNS 域变得困难。见stackoverflow.com/questions/32714351/…
-
要具有点符号存储桶名称(因此您可以使用 Route 53 别名)并且您希望通过 REST 将对象放入,请确保主机名与区域匹配。例如,我的存储桶在
us-west-2,所以主机名实际上是s3-us-west-2.amazonaws.com,否则会出错。
今天刚刚添加了自定义域 SSL 证书,价格为 600 美元/证书/月。在下面注册您的邀请: http://aws.amazon.com/cloudfront/custom-ssl-domains/
更新:SNI 客户免费提供证书are now available。比 600 美元/月便宜得多,而且 XP 几乎被淘汰,它应该适用于大多数用例。
@skalee AWS 有一种机制可以实现发帖人的要求,“为 Amazon s3 存储桶实现 SSL”,它被称为 CloudFront。我将“实现”读作“使用我的 SSL 证书”,而不是“只是在 HTTP URL 上放一个 S,我确信 OP 可以推测出来。
由于 CloudFront 的成本与 S3 完全相同(0.12 美元/GB),但在 SSL 方面有大量附加功能,并且允许您免费添加自己的 SNI 证书,因此它是“实施 SSL”的明显解决方案你的域名。
【讨论】:
-
CloudFront 不是 S3。
-
@skalee 正确,但是如果您想通过具有自定义 SSL 证书的域访问它,作为 OP 请求,您可以通过这种方式设置自定义 CNAME SSL 证书并通过 CF 访问它。
-
我暂时设置了两个CNAME:static-s3和static-cf,第一个直接指向我的S3,第二个指向CF。首先不能支持 SSL,其次可以,但它是 CF 而不是 S3,正如 skalee 指出的那样。这是我认为目前我们能做的最好的事情。
-
哇,我想他们必须以某种方式弥补越来越便宜的存储成本。至少它是按比例分配的。如果您在一个月内仅使用 SSL 证书 1 小时,则只需 20 美元;-)
-
@Elegant.Scripting 如果您有专用的 SSL 证书(不是 SNI 证书),那么该机器需要一个专用 IP,这会产生费用。对于 S3 托管数据的全球每个位置,您可能都需要一个专用 IP。所以这加起来了。但我认为主要是帖子的人不需要它,他们可以为那些需要它的人抬高价格。如果不需要支持 IE6,那么 CloudFront 下的 SNI 证书应该没问题。
我发现您可以通过 Cloud Flare 服务轻松做到这一点。
设置一个存储桶,在该存储桶上启用网络托管,并通过 Cloudflare 将所需的 CNAME 指向该端点……当然还要为服务付费……但 5-20 美元 VS 600 美元更容易接受。
这里有完整的细节: https://www.engaging.io/easy-way-to-configure-ssl-for-amazon-s3-bucket-via-cloudflare/
【讨论】:
-
在这里试试我的指南:engaging.io/…
如果您真的需要它,请考虑重定向。
例如,根据assets.my-domain.example.com/path/to/file 的请求,您可以执行 301 或 302 重定向到 my-bucket-name.s3.amazonaws.com/path/to/file 或 s3.amazonaws.com/my-bucket-name/path/to/file(请记住,在第一种情况下,my-bucket-name 不能包含任何点,否则将不匹配*.s3.amazonaws.com, s3.amazonaws.com 在 S3 证书中声明)。
未经测试,但我相信它会起作用。但是,我看到的问题很少。
第一个非常明显,是获取此重定向的附加请求。而且我怀疑您是否可以使用您的域名注册商提供的重定向服务器——您必须以某种方式在那里上传正确的证书——因此您必须使用自己的服务器。
第二个是您可以在页面源代码中使用您的域名的网址,但是当例如用户在单独的选项卡中打开图片时,地址栏将显示目标网址。
【讨论】:
-
我不确定,但我认为这可能会导致 CORS 问题。
直接使用 S3 是不可能的,但您可以从您的存储桶创建 Cloud Front 分配。然后转到证书管理器并请求证书。亚马逊免费提供。您已成功确认认证的人,将其分配给您的 Cloud Front 分配。还要记住将规则设置为将 http 重定向到 https。
我在 Amazon S3 上托管了几个静态网站,例如我已为其分配 SSL 证书的个人网站,因为它们具有 Cloud Front 分发版。
【讨论】:
-
你是如何分配域名的?
-
先去证书管理器申请新证书。在此处添加您的域,并在此处添加子域(如有必要)。把子域放在那里并没有什么坏处,所以不妨把 example.com 和 *.example.com 放在那里。
如前所述,您无法为 S3 存储桶创建免费证书。但是,您可以创建 Cloud Front 分配,然后为 Cloud Front 分配证书。您为您的域请求证书,然后将其分配给 Cloud Front 设置中的 Cloud Front 分发。我已经使用这种方法通过 SSL 提供静态网站以及提供静态文件。
对于创建静态网站,亚马逊是首选。使用 SSL 获得静态网站真的很实惠。
【讨论】:
-
对于使用 google 访问这里的每个人:请记住在弗吉尼亚北部地区创建您的 AWS 证书(也)。否则你将无法在你的 CF 发行版中选择它