Amazon CloudFront ist ein sicheres und programmierbares Content Delivery Network. Zu den Sicherheitsfunktionen von CloudFront gehören die Verschlüsselung auf Feldebene und der Schutz vor DDoS-Angriffen auf Netzwerk- und Anwendungsebene.

Benutzerdefiniertes SSL-Zertifikat anfordern

Zur Einrichtung deiner Cloudfront-Distribution gehört auch die Beantragung eines eigenen SSL-Zertifikats. Da dies zwischen einigen Minuten und mehreren Stunden dauern kann, empfehlen wir, das benutzerdefinierte SSL-Zertifikat anzufordern, bevor du mit der Erstellung einer neuen Distribution beginnst.

Wenn du noch kein AWS-Konto hast, kannst du hier eines erstellen. Sobald du dich in dein AWS-Konto eingeloggt hast, suchst du im Suchfeld in der Menüleiste nach „Zertifikatsmanager“ und klickst dann unter Services auf Zertifikatsmanager.

Klicke in deinem CloudFront-Konto unter Dienste auf Zertifikatsmanager.
Klicke in deinem CloudFront-Konto unter Dienste auf Zertifikatsmanager.

Klicke im Zertifikatsmanager auf die Schaltfläche Ein Zertifikat anfordern.

Klicke auf die Schaltfläche Zertifikat anfordern im AWS Certificate Manager.
Klicke im AWS Certificate Manager auf die Schaltfläche Zertifikat anfordern.

Auf der nächsten Seite wählst du Öffentliches Zertifikat anfordern aus und klickst auf die Schaltfläche Zertifikat anfordern.

Wähle "Öffentliches Zertifikat anfordern" und klicke auf die Schaltfläche "Zertifikat anfordern".
Wähle ein öffentliches Zertifikat anfordern und klicke auf die Schaltfläche Zertifikat anfordern

Domain-Namen hinzufügen

Füge im Formular zum Beantragen eines Zertifikats deine benutzerdefinierte Domain (die primäre Domain deiner Webseite bei Kinsta) zur Liste der Domainnamen hinzu (wenn du eine Root-Domain hinzufügst, achte darauf, dass du sowohl die nicht-www- als auch die www-Domain hinzufügst, oder füge die Wildcard-Domain wie *.example.com hinzu) und klickst auf Weiter.

Füge deine benutzerdefinierte Domain zur SSL-Zertifikatsanforderung im AWS Certificate Manager hinzu.
Füge deine benutzerdefinierte Domain zur SSL-Zertifikatsanforderung im AWS Certificate Manager hinzu.

Domain-Validierung

Auf dem nächsten Bildschirm wählst du entweder die E-Mail- oder die DNS-Validierung für dein SSL-Zertifikat. Wähle die Option, die für dich am besten geeignet ist.

Wenn deine Domainregistrierung nicht über einen Datenschutz verfügt, der deine Kontaktinformationen vor WHOIS-Abfragen verbirgt, oder wenn E-Mails, die an die Proxy-E-Mail-Adresse gesendet werden, an deine echte E-Mail-Adresse weitergeleitet werden, kannst du die E-Mail-Validierung verwenden, um deinen Zertifikatsantrag zu validieren.

Wenn du unter der E-Mail-Adresse, die in den WHOIS-Abfragen angezeigt wird, keine E-Mails empfangen kannst, musst du die DNS-Validierungsmethode verwenden.

E-Mail-Validierung

Wähle E-Mail-Validierung und klicke auf die Schaltfläche Weiter, um die E-Mail-Validierung zu starten.

Initiiere die E-Mail-Validierung für das AWS SSL Zertifikat.
Initiiere die E-Mail-Validierung für das AWS SSL-Zertifikat.

Du erhältst bis zu 8 E-Mails für jede Domain, die du dem Zertifikat hinzugefügt hast, und du musst mindestens eine E-Mail für jede Domain beantworten, um die Validierung abzuschließen.

DNS-Validierung

Um diese Methode zu verwenden, wähle die DNS-Validierungsmethode und klicke auf die Schaltfläche Weiter.

Acm-dns-validation-selected
Amazon Certificate Manager DNS-Validierung für SSL-Zertifikat

Auf der Seite Tags hinzufügen kannst du bei Bedarf einige optionale Tags hinzufügen und auf Überprüfen klicken, um mit dem nächsten Schritt fortzufahren.

Überprüfe die Anforderung des SSL-Zertifikats.
Überprüfe den SSL-Zertifikatsantrag

Auf der Überprüfungsseite klickst du auf die Schaltfläche Bestätigen und anfordern, um mit dem Validierungsschritt fortzufahren.

Bestätige die Anforderung des SSL-Zertifikats.
Bestätige die Anfrage für das SSL-Zertifikat.

Auf der nächsten Seite klickst du auf das Pfeilsymbol neben deinem benutzerdefinierten Domainnamen, um die CNAME-Details für die Validierung anzuzeigen. Du musst einen CNAME-Eintrag für deine benutzerdefinierte Domain mit diesen Angaben erstellen.

CNAME-Eintragsdetails für die Domain-Validierung.
CNAME-Eintragsdetails für die Domainvalidierung

Um diesen neuen CNAME-Eintrag hinzuzufügen, logge dich dort ein, wo du die DNS deiner Domain verwaltest. In diesem Beispiel zeigen wir dir, wie du den CNAME-Eintrag im DNS von Kinsta hinzufügst. Wenn du einen anderen DNS-Anbieter hast (z. B. deinen Registrar oder einen anderen DNS-Host, je nachdem, wo du die Nameserver deiner Domain eingetragen hast), können die Schritte ein wenig anders aussehen.

  1. Klicke in der linken Seitenleiste von MyKinsta auf DNS.
  2. Klicke auf den Link Verwalten für die Domain, zu der du einen DNS-Eintrag hinzufügen möchtest.
  3. Klicke auf die Schaltfläche DNS-Eintrag hinzufügen.
  4. Klicke auf die Registerkarte CNAME und füge den Hostnamen (alles vor deiner benutzerdefinierten Domain im Feld Name von CloudFront) und Points to (Wert von CloudFront) hinzu. Klicke auf die Schaltfläche DNS-Eintrag hinzufügen, um deinen neuen CNAME-Eintrag zu speichern.

Hinweis: Je nach TTL-Einstellung deines DNS-Eintrags kann es ein paar Minuten bis Stunden dauern, bis der DNS-Eintrag übertragen wird.

Füge einen CNAME-Eintrag für die AWS SSL-Validierung hinzu
Füge einen CNAME-Eintrag für die AWS SSL-Validierung hinzu

Gehe zurück zur CloudFront-Validierungsseite und klicke auf Weiter.

Setze die DNS-Validierung fort.
Setze die DNS-Validierung fort.

Sobald sich der CNAME-Eintrag verbreitet und validiert wurde, ändert sich der Status des SSL-Zertifikats von Ausstehend zu  Ausgestellt.

SSL-Zertifikat, das im Amazon Certificate Manager ausgestellt wurde.
Ausgestelltes SSL-Zertifikat im Amazon Certificate Manager

Dein neues SSL-Zertifikat ist nun bereit, mit deiner neuen CloudFront-Distribution verwendet zu werden, und du kannst jetzt mit der Einrichtung beginnen.

CloudFront-Zone konfigurieren und bereitstellen

Im nächsten Schritt musst du eine CloudFront-Zone konfigurieren und bereitstellen. Suche in deinem AWS-Konto über das Suchfeld in der Menüleiste nach „CloudFront“ und klicke dann unter Services auf CloudFront.

Wähle CloudFront unter Services in AWS aus.
Wähle CloudFront unter Services in AWS.

Klicke anschließend auf CloudFront-Verteilung erstellen.

Erstelle eine CloudFront-Verteilung
Erstelle eine CloudFront-Verteilung

Auf der Seite Verteilung erstellen kannst du die Details für eine neue CloudFront-Zone konfigurieren. Wir empfehlen die folgende Konfiguration, um die maximale Kompatibilität mit der Cloudflare-Integration von Kinsta zu gewährleisten.

Herkunft

Empfohlene Origin-Einstellungen:

  • Ursprungsdomain: Die kinsta.cloud-Domain deiner Webseite (in unserem Beispiel hier: myawewsomesite.kinsta.cloud). CloudFront akzeptiert keine IP-Adresse als Ursprungsdomain, daher musst du in diesem Feld die kinsta.cloud-Domain deiner Webseite angeben.
    Die folgenden 3 Felder erscheinen, sobald du deine Herkunftsdomain eingegeben hast:
    • Protokoll: Nur HTTPS
    • HTTPS-Anschluss: 443
    • Minimum Origin SSL Protocol: TLSv1
  • Herkunftspfad: Lass dies leer.
  • Name (optional): Du kannst hier einen benutzerdefinierten Namen für den Ursprung eingeben, aber er ist nicht erforderlich.
  • Ursprungsschutz aktivieren: Nein.
Empfohlene Origin-Einstellungen für die CloudFront-Verteilung.
Empfohlene Origin-Einstellungen für die CloudFront-Distribution.

Standard-Cache-Verhalten

Während du die Einstellungen für das Cache-Verhalten konfigurierst, musst du zwei CloudFront-Richtlinien erstellen: die Cache-Richtlinie und die Anforderungsrichtlinie, die wir dir im Folgenden vorstellen.

Empfohlene Einstellungen für den Abschnitt Standard-Cache-Verhalten:

  • Pfad-Muster: Standard.
  • Objekte automatisch komprimieren: Ja.
  • Viewer-Protokoll-Richtlinie: HTTP auf HTTPS umleiten.
  • Erlaubte HTTP-Methoden: GET, HEAD, OPTIONS, PUT, POST, PATCH, DELETE.
  • Viewer-Zugang einschränken: Nein.
  • Cache-Schlüssel und Ursprungsanfragen: Cache-Richtlinie und Richtlinie für Ursprungsanfragen.
    • Cache-Richtlinie: Wähle deine neue benutzerdefinierte Cache-Richtlinie aus (siehe Schritte zur Erstellung unten).
    • Richtlinie für Ursprungsanfragen: Wähle deine neue benutzerdefinierte Richtlinie für Herkunftsanfragen aus (siehe Schritte zum Erstellen unten).
Empfohlene Einstellungen für das Cache-Verhalten bei der CloudFront-Verteilung.
Empfohlene Einstellungen für das Cache-Verhalten bei der CloudFront-Verteilung:

So erstellst du eine CloudFront-Cache-Richtlinie

Im Abschnitt Cache-Richtlinie klickst du auf Richtlinie erstellen. Dadurch wird die Seite zur Erstellung der Cache-Richtlinie in einem neuen Tab in deinem Browser geöffnet.

Erstelle eine Cache-Richtlinie in CloudFront
Erstelle eine Cache-Richtlinie in CloudFront

Im Abschnitt Details gibst du einen Namen (z.B. KinstaCachePolicy) für die Cache-Richtlinie an.

Verwende im Abschnitt TTL-Einstellungen die folgenden Einstellungen:

  • Minimale TTL: 0
  • Maximale TTL: 31536000
  • Standard-TTL: 86400

Verwende im Abschnitt Cache-Schlüssel-Einstellungen die folgenden Einstellungen:

  • Kopfzeilen: Keine
  • Abfragezeichenfolgen: Alle
  • Cookies: Alle

Aktiviere im Abschnitt Komprimierungsunterstützung die Optionen Gzip und Brotli und klicke dann auf die Schaltfläche Erstellen.

Empfohlene Einstellungen für Cache-Richtlinien in CloudFront
Empfohlene Einstellungen für Cache-Richtlinien in CloudFront

Schließe diesen Browser-Tab und kehre zu dem Tab zurück, in dem du deine neue CloudFront-Verteilung erstellst.

Klicke auf die Schaltfläche Aktualisieren neben dem Dropdown-Menü Cache-Richtlinie und wähle deine neue benutzerdefinierte Cache-Richtlinie im Dropdown-Menü aus.

Wähle deine benutzerdefinierte Cache-Richtlinie aus.
Wähle deine benutzerdefinierte Cache-Richtlinie aus.

So erstellst du eine CloudFront Origin Request Policy

Klicke im Abschnitt Richtlinie für Ursprungsanfragen auf Richtlinie erstellen. Dadurch wird die Seite Richtlinie für Ursprungsanfragen erstellen in einem neuen Tab in deinem Browser geöffnet.

Erstelle eine Origin-Request-Richtlinie in CloudFront
Erstelle eine Origin-Request-Richtlinie in CloudFront

Im Abschnitt Details gibst du einen Namen (z.B. KinstaOriginPolicy) für die Herkunftsanforderungsrichtlinie an.

Wähle im Abschnitt Einstellungen für Herkunftsanfragen Folgendes aus:

  • Kopfzeilen: Alle Betrachter-Kopfzeilen
  • Abfragezeichenfolgen: Alle
  • Cookies: Alle

Klicke auf die Schaltfläche Erstellen, um die Anfragerichtlinie zu erstellen.

Die Einstellungen der CloudFront Origin-Anforderungsrichtlinie
Die Einstellungen der CloudFront Origin-Anforderungsrichtlinie

Schließe diesen Browser-Tab und kehre zu dem Tab zurück, in dem du deine neue CloudFront-Verteilung erstellst.

Klicke auf die Schaltfläche „Aktualisieren“ neben dem Dropdown-Menü Richtlinie für Ursprungs anfragen und wähle deine neue benutzerdefinierte Richtlinie für Ursprungsanfragen im Dropdown-Menü aus.

Wähle deine benutzerdefinierte Herkunftsanforderungsrichtlinie in der Dropdown-Liste aus.
Wähle deine benutzerdefinierte Herkunftsanforderungsrichtlinie in der Dropdown-Liste aus.

Funktionszuordnungen

Wir empfehlen, keine Function Associations zu setzen. Damit kannst du AWS Lambda Serverless-Funktionen verschiedenen Auslösern innerhalb des Anfrage-Lebenszyklus zuordnen (z. B. Viewer-Anfrage, Viewer-Antwort, Ursprungsanfrage usw.).

Es ist zwar möglich, Funktionszuordnungen zusammen mit Kinsta’s CDN zu verwenden, aber es gibt einige Szenarien, in denen eine Lambda-Funktion mit Kinsta’s CDN in Konflikt geraten kann. Wenn du benutzerdefinierte Lambda-Funktionen auf deiner Seite verwenden möchtest, empfehlen wir dir, mit einem Entwickler zusammenzuarbeiten, um eventuelle Probleme zu beheben.

Einstellungen

Empfohlene Konfiguration für den Bereich Einstellungen:

  • Preisklasse: Wähle die CloudFront-Regionen aus, die du für deine Webseite verwenden möchtest.
  • AWS WAF Web ACL: Wenn du eine ACL mit benutzerdefinierten Firewall-Regeln erstellen musst, empfehlen wir dir, mit einem AWS-Experten zusammenzuarbeiten, um Konflikte mit Kinsta’s CDN zu vermeiden.
  • Alternativer Domainname: Klicke auf Hinzufügen und gib die benutzerdefinierte Domain an (die primäre Domain deiner Webseite bei Kinsta).
  • Benutzerdefiniertes SSL-Zertifikat: Wähle das benutzerdefinierte SSL-Zertifikat aus, das du zu Beginn dieses Lernprogramms erstellt hast.
    Nachdem du das benutzerdefinierte SSL-Zertifikat ausgewählt hast, siehst du ein paar zusätzliche Optionen:
    • Unterstützung von Legacy-Clients: Lass diese Option unmarkiert/deaktiviert.
    • Sicherheitsrichtlinie: TLSv1.2_2021
  • Unterstützte HTTP-Versionen: HTTP/2
  • Standard-Protokollierung: Aus
  • IPv6: An
Speichere die Verteilungseinstellungen, um deine neue CloudFront-Zone zu erstellen.
Speichere die Verteilungseinstellungen, um deine neue CloudFront-Zone zu erstellen.

Klicke auf die Schaltfläche Verteilung erstellen, um die Erstellung deiner neuen CloudFront-Zone abzuschließen.

Fehlerbehebung bei häufigen CloudFront-Problemen

502-Fehler

Wenn du nach der Erstellung deiner CloudFront-Verteilung 502-Fehler auf deiner Webseite siehst, überprüfe die Herkunftsdomain in deinen Herkunftseinstellungen. Dies muss die kinsta.cloud-Domain deiner Webseite sein, nicht deine Live-Domain.

Änderungen werden nicht auf deiner Webseite angezeigt

Wenn du deine Webseite so einrichtest, dass sie CloudFront nutzt, entsteht eine zusätzliche Cache-Ebene, die du jedes Mal leeren musst, wenn du den Cache leeren willst. Wenn du Probleme hast, Änderungen auf deiner Webseite zu sehen, oder wenn sich ein Plugin nach der Installation oder Neuinstallation nicht wie erwartet verhält, solltest du den Cache auf allen Ebenen löschen, einschließlich:

  1. Plugins (falls zutreffend)
  2. Themes (falls zutreffend)
  3. Website-/Server-Cache bei Kinsta (entweder von MyKinsta oder dem Kinsta MU-Plugin)
  4. Cache bei CloudFront (Hierfür musst du Objekte ungültig machen. Wenn du /* für den Objektpfad zum ungültig machen verwendest, wird der gesamte Cache gelöscht.)
  5. Browser-Cache

Durch False Positive blockierte IP-Adresse

Wenn du DDoS-Abwehr oder Bot-Erkennung bei CloudFront aktiviert hast und du oder ein Besucher deiner Webseite fälschlicherweise blockiert wird, kann das an einem False Positive liegen. In diesem Fall musst du sowohl mit dem AWS-Support als auch mit dem Kinsta-Support zusammenarbeiten, um herauszufinden, wo die Blockierung auftritt.

HTTP-HTTPS-Umleitungsschleifen

Wenn HTTP-zu-HTTPS-Umleitungsschleifen auftreten, stelle sicher, dass das Protokoll in den CloudFront Origin-Einstellungen für deine Domain auf Nur HTTPS eingestellt ist.

IP-Geolocation-Umleitungen funktionieren nicht ordnungsgemäß

Der Seiten-Cache, der bei CloudFront standardmäßig aktiviert ist, kann die IP-Geolocation-Weiterleitungen, die du bei Kinsta eingestellt hast, beeinträchtigen. In diesem Fall musst du das Caching bei CloudFront deaktivieren oder deine Cache-Richtlinie so konfigurieren, dass nur die Dateien gecached werden, die nicht für einen bestimmten Standort bestimmt sind. Wenn du bei der Einrichtung Probleme hast, empfehlen wir dir, mit einem Entwickler zusammenzuarbeiten, um deine eigene Cache-Richtlinie zu konfigurieren.

Anmeldung im WordPress-Dashboard nicht möglich

Der Login funktioniert nicht ohne POST-Unterstützung. Auch andere Funktionen auf der Webseite können davon betroffen sein. Vergewissere dich, dass die erlaubten HTTP-Methoden unter Standard-Cache-Verhalten eingestellt sind auf: GET, HEAD, OPTIONS, PUT, POST, PATCH, und DELETE.

Erweiterte Einstellungen und Kompatibilität

Beschränkung des Betrachterzugriffs mit signierten URLs und signierten Cookies

Einige Optionen, wie z. B. die Beschränkung des Zugriffs auf Dateien auf benutzerdefinierten Ursprüngen, funktionieren möglicherweise nicht, da Cloudflare statische Anfragen immer im Cache speichert.