Mam zamiar stworzyć nową dystrybucję w CloudFront . Już przesłałem swój certyfikat SSL do AWS IAM przy użyciu interfejsu AWS CLI. Ten certyfikat pojawia się na liście rozwijanej Niestandardowy certyfikat SSL na nowej stronie dystrybucji, ale jest WYŁĄCZONY .
Czy ktoś może mi powiedzieć, dlaczego tak jest? Jak wybrać mój niestandardowy certyfikat SSL dla tej dystrybucji?
Odpowiedzi:
Rozpowszechnienie nowego certyfikatu do wszystkich węzłów zajęło AWS cały dzień. Następnego dnia, kiedy zalogowałem się do mojej konsoli AWS, certyfikat pojawił się na liście rozwijanej i został również włączony i mogłem pomyślnie skonfigurować dystrybucję.
us-east-1Podczas składania wniosku o certyfikat upewnij się również, że wybrałeś (N. Virginia); to jedyny region, który w tej chwili go obsługuje (nawet jeśli Twój zasobnik / zasób znajduje się w innym regionie)
Tylko certyfikaty zarejestrowane w AWS Certificate Manager (ACM) w regionie Wschodnie stany USA (Północna Wirginia) będą dostępne do użytku w CloudFront
Zaimportuj certyfikat do IAM lub utwórz go za pomocą ACM w us-east-1, jak wspomniano w innych komentarzach.
Poczekaj, aż weryfikacja zostanie zakończona, tj. Nie jest pomarańczowa.
Wystarczy odczekać kilka minut i odświeżyć distribution settingsstronę, aby zobaczyć opcję zwyczaj SSL ENABLED .
Miałem ten sam problem, nie korzystałem z AWSkonta roota, a IAMścieżka była poprawnie ustawiona /cloudfront/.
Zaloguj się do konsoli i użyj tego adresu URL: https://console.aws.amazon.com/acm/home?region=us-east-1#/wizard/ i będzie działać. Kluczem jest region.
Miałem podobne problemy i łatwiej było zaimportować certyfikat do Menedżera certyfikatów AWS.
Jeśli używasz Menedżera certyfikatów AWS z zasobnikiem S3, upewnij się, że importujesz certyfikat do regionu Wschodnie stany USA (Północna Wirginia). Na dzień dzisiejszy jest to jedyny region w ACM obsługujący S3. Zobacz https://docs.aws.amazon.com/acm/latest/userguide/acm-services.html
Po wystawieniu certyfikatu wróć do strony głównej Cloudfront i odśwież stronę. U mnie to zadziałało
Przyczyną, dla której teraz się nie pojawia, jest prawdopodobnie to, że ustawiona ścieżka iam nie to / cloudfront / [1]. Możesz użyć tej samej listy klienckiej, której użyłeś do przesłania certyfikatu, aby zmienić domyślną ścieżkę do / lub możesz ponownie przesłać certyfikat. Daj mi znać, jeśli to nie pomoże.
Upewnij się, że nie przesyłasz certyfikatu przy użyciu konta głównego AWS. Jeśli korzystasz z konta głównego, certyfikat będzie widoczny, ale nie będziesz mógł go wybrać.
Zamiast tego utwórz nowego użytkownika IAM z odpowiednimi uprawnieniami (korzystałem z konta z przypisaną polityką administracyjną) i prześlij certyfikat przy użyciu tych poświadczeń. Certyfikat powinien być wtedy dostępny.
Jeśli chcesz otrzymać certyfikat w innym regionie (nie us-east-1), ustaw swój region na us-east-1 i poproś o certyfikat ponownie. Po prostu żądam tej samej nazwy domeny w ap-north-2 i działa natychmiast.
Widzę, że jest już wiele dobrych odpowiedzi, a każda z nich może być przyczyną wyłączenia Twojej Custon SSL Certificatesekcji. Myślę, że właśnie znalazłem inny i tak było w moim przypadku:
W przypadku wielu „usług zintegrowanych”, w tym CloudFront, obsługiwanych jest tylko kilka algorytmów i rozmiarów kluczy. Próbowałem użyć mojego 4096-bitowego certyfikatu RSA i klucza o odpowiedniej długości.
W chwili obecnej do użytku z „usługami zintegrowanymi” AWS akceptuje tylko klucze o długości 1024 lub 2048 bitów.
Wspomniany tutaj: https://docs.aws.amazon.com/acm/latest/userguide/import-certificate-prerequisites.html
Jeśli certyfikatu nie ma na liście rozwijanej, możesz skopiować i wkleić pełny numer ARN dla certyfikatu. ARN można znaleźć w Menedżerze certyfikatów, wybierając certyfikat, którego chcesz użyć.
Konto główne AWS nie może wybrać niestandardowego certyfikatu w CloudFront.
Utwórz nowego użytkownika IAM z poniższymi zasadami i utwórz dystrybucję CloudFront z tym użytkownikiem, aby móc wybrać niestandardowy certyfikat SSL.
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": ["*"],
"Resource": ["*"]
}]
}