CloudFront-Fehler beim Bereitstellen über HTTPS mithilfe von SNI

Amazon vor kurzem rollte eine neue Funktion auf CloudFront unterstützt benutzerdefinierte SSL-Zertifikate kostenlos mit SNI (Server Name Indication).

Habe ich meine Verteilung mit ein kostenloses Class 1 Zertifikat von StartSSL, und alles war zu arbeiten, wenn ich war zu bemerken, dass die Website würde ein kurze Zeit, nachdem es bereitgestellt wird. Läuft SSL-Checker gibt, dass mein Zeugnis richtig funktioniert:

CloudFront-Fehler beim Bereitstellen über HTTPS mithilfe von SNI

Aber dann würde ich Treffer dieser Fehler-Seite, wenn Sie versuchen, Zugriff auf die Website über HTTPS (es würde für die erste Anfrage und dann gehen in den nachfolgenden versuchen zu verbinden).

CloudFront-Fehler beim Bereitstellen über HTTPS mithilfe von SNI

Hier ist eine ausführliche Ausgabe beim Zugriff mit ssl (gelingt index):

$ curl -I -v -ssl https://wikichen.is
* Adding handle: conn: 0x7f9f82804000
* Adding handle: send: 0
* Adding handle: recv: 0
* Curl_addHandleToPipeline: length: 1
* - Conn 0 (0x7f9f82804000) send_pipe: 1, recv_pipe: 0
* About to connect() to wikichen.is port 443 (#0)
*   Trying 54.230.141.222...
* Connected to wikichen.is (54.230.141.222) port 443 (#0)
* TLS 1.2 connection using TLS_RSA_WITH_RC4_128_MD5
* Server certificate: www.wikichen.is (6w984WNu7vM5OrdU)
* Server certificate: StartCom Class 1 Primary Intermediate Server CA
* Server certificate: StartCom Certification Authority
> HEAD /HTTP/1.1
> User-Agent: curl/7.30.0
> Host: wikichen.is
> Accept: */*
>
< HTTP/1.1 200 OK
HTTP/1.1 200 OK
< Content-Type: text/html; charset=utf-8
Content-Type: text/html; charset=utf-8
< Content-Length: 1153
Content-Length: 1153
< Connection: keep-alive
Connection: keep-alive
< Date: Sun, 09 Mar 2014 16:09:54 GMT
Date: Sun, 09 Mar 2014 16:09:54 GMT
< Cache-Control: max-age=120
Cache-Control: max-age=120
< Content-Encoding: gzip
Content-Encoding: gzip
< Last-Modified: Wed, 05 Mar 2014 20:40:48 GMT
Last-Modified: Wed, 05 Mar 2014 20:40:48 GMT
< ETag: "34685bc45353d1030d3a515ddba78f3e"
ETag: "34685bc45353d1030d3a515ddba78f3e"
* Server AmazonS3 is not blacklisted
< Server: AmazonS3
Server: AmazonS3
< Age: 4244
Age: 4244
< X-Cache: Hit from cloudfront
X-Cache: Hit from cloudfront
< Via: 1.1 4f672256eaca5524999342dc8678cdd2.cloudfront.net (CloudFront)
Via: 1.1 4f672256eaca5524999342dc8678cdd2.cloudfront.net (CloudFront)
< X-Amz-Cf-Id: h4TEULH44TCi7m2lL42A8lO-5-Gmx8iY2M2C1AOmRlK543zFN6jCtQ==
X-Amz-Cf-Id: h4TEULH44TCi7m2lL42A8lO-5-Gmx8iY2M2C1AOmRlK543zFN6jCtQ==

<
* Connection #0 to host wikichen.is left intact

Dann nicht auf anderen Seiten:

$ curl -i -v https://wikichen.is/writing/index.html
* Adding handle: conn: 0x7fa153804000
* Adding handle: send: 0
* Adding handle: recv: 0
* Curl_addHandleToPipeline: length: 1
* - Conn 0 (0x7fa153804000) send_pipe: 1, recv_pipe: 0
* About to connect() to wikichen.is port 443 (#0)
*   Trying 54.230.140.160...
* Connected to wikichen.is (54.230.140.160) port 443 (#0)
* TLS 1.2 connection using TLS_RSA_WITH_RC4_128_MD5
* Server certificate: www.wikichen.is (6w984WNu7vM5OrdU)
* Server certificate: StartCom Class 1 Primary Intermediate Server CA
* Server certificate: StartCom Certification Authority
> GET /writing/index.html HTTP/1.1
> User-Agent: curl/7.30.0
> Host: wikichen.is
> Accept: */*
>
< HTTP/1.1 502 Bad Gateway
HTTP/1.1 502 Bad Gateway
< Content-Type: text/html
Content-Type: text/html
< Content-Length: 472
Content-Length: 472
< Connection: keep-alive
Connection: keep-alive
* Server CloudFront is not blacklisted
< Server: CloudFront
Server: CloudFront
< Date: Sun, 09 Mar 2014 17:54:41 GMT
Date: Sun, 09 Mar 2014 17:54:41 GMT
< Age: 6
Age: 6
< X-Cache: Error from cloudfront
X-Cache: Error from cloudfront
< Via: 1.1 9096435f28f91f92bacdf76122de09ee.cloudfront.net (CloudFront)
Via: 1.1 9096435f28f91f92bacdf76122de09ee.cloudfront.net (CloudFront)
< X-Amz-Cf-Id: iAUOQbP8O4A0pI9KGvVz0VgBT1TW-j0yVDa7vdSvIAuxnKOyQghtnw==
X-Amz-Cf-Id: iAUOQbP8O4A0pI9KGvVz0VgBT1TW-j0yVDa7vdSvIAuxnKOyQghtnw==

<
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<HTML><HEAD><META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-1">
<TITLE>ERROR: The request could not be satisfied</TITLE>
</HEAD><BODY>
<H1>ERROR</H1>
<H2>The request could not be satisfied.</H2>
<HR noshade size="1px">
</BODY></HTML>

<BR clear="all">
<HR noshade size="1px">
<ADDRESS>
Generated by cloudfront (CloudFront)
</ADDRESS>
* Connection #0 to host wikichen.is left intact
</BODY></HTML>%

Würde gerne einige Hinweise, wie und wo Sie Problembehandlung beginnen.

InformationsquelleAutor der Frage wikichen | 2014-03-09

  1. 52

    Einer Art rep durch den Namen von Alastair@AWS aus AWS-CloudFront-Foren das Problem gelöst für mich:

    Habe ich identifiziert Ihre CloudFront-Verteilung und den S3-bucket
    als Ursprung für diese Verteilung.

    Kann ich neu erstellen und erklären die intermittierende '502 Bad Gateway'
    Antwort, die Sie erhalten.

    Diese Antwort zurückgegeben wird von CloudFront, wenn Sie versuchen, Zugriff auf einen
    URL mit HTTPS-Protokoll, das aktuell nicht im Cache
    CloudFront. Der Grund für diesen Fehler ist CloudFront versucht
    Kontaktieren Sie Ihren Ursprung über das HTTPS-Protokoll, und dieser versagt.

    Der Grund für diesen Fehler ist, den Sie konfiguriert haben, Ihre Herkunft als
    S3-bucket, aber Sie sind mit dem "Benutzerdefinierten Ursprung" geben und Regie zu
    der S3-website-URL für diesen Eimer. Wenn Sie versuchen, schlagen Sie Ihre S3
    website-URL HTTPS verwenden, beachten Sie, dass dies nicht funktioniert. S3-website
    hosting unterstützt nur das bereitstellen von Inhalten mithilfe der HTTP-Protokolls
    (http://docs.aws.amazon.com/AmazonS3/latest/dev/WebsiteEndpoints.html#WebsiteRestEndpointDiff).

    Nun, die intermittierende laden der Seite Verhalten, das Sie sehen, ist aufgrund
    CloudFront Rücksendung der Seiten, die er derzeit in seinem cache. Sie
    sollte in der Lage sein, neu zu erstellen diesem Szenario wie folgt:

    1. Schlagen Sie eine Seite auf Ihrer Website mit HTTPS. Sollten Sie ein '502 Bad Gateway" - Fehler zurück.
    2. Treffer der gleichen Seite mit HTTP. Sie sollten die Seite.
    3. Treffer die Seite erneut über HTTPS. Sie sollten nun das erwartete Ergebnis, da CF gedient hat, die Inhalte aus dem cache statt
      Versuch Kontakt mit Ihrer Herkunft.

    Um dieses Problem zu beheben, versuchen Sie bitte Folgendes:

    1. Öffnen Sie die CloudFront Management Console und öffnen Sie Ihre Verteilung.
    2. Navigieren Sie zu den Ursprüngen Registerkarte, wählen Sie Ihren Ursprung, und klicken Sie auf "Bearbeiten"
    3. Ändern Sie die "Ursprungs-Protokoll Policy" auf "Nur HTTP".
    4. Speichern Sie die änderungen und warten Sie etwa 15 Minuten, damit die änderung wirksam wird.
    5. Test

    Meine Erwartung ist dies zwingt CloudFront wenden Sie sich an Ihre Herkunft
    mit nur HTTP. Ich getestet habe dies in meinem Umfeld mit einem S3
    Website gehostet Eimer und ich kann erfolgreich das laden von Inhalten über beide
    HTTP und HTTPS.

    Hier der link zum original-forum-thread.

    InformationsquelleAutor der Antwort wikichen

  2. 0

    Ich hatte ein ähnliches Problem und dieses, wie @Michael-sqlbot vorgeschlagen, wechselte von benutzerdefinierten Ursprungs-S3. Auch das nicht, von selbst, das Problem zu beheben.

    Zusätzlich zum Wechsel der Herkunft, Andrew von AWS support sagte, dass Aliase funktionieren besser als CNAMEs. Ich war mit CNAMEs. Wenn ich eingeschaltet, um Aliase (eine für IPv4 und eine für IPv6) funktionierte es. Hier ist die Route 53 Dokumentation für CloudFrontdie zeigt, wie setup-Aliase für CloudFront.

    InformationsquelleAutor der Antwort Forest J. Handford

Schreibe einen Kommentar