ฉันกำลังจะสร้างกระจายสินค้าแห่งใหม่ที่CloudFront ฉันได้อัปโหลดใบรับรอง SSL ที่ AWS IAM โดยใช้ AWS CLI แล้ว ใบรับรองนั้นปรากฏในดรอปดาวน์ใบรับรอง SSL แบบกำหนดเองในหน้าการแจกจ่ายใหม่ แต่ถูกปิดใช้งาน
ใครช่วยบอกทีว่าทำไมถึงเป็นอย่างนั้น? จะเลือกใบรับรอง SSL ที่กำหนดเองสำหรับการแจกจ่ายนี้ได้อย่างไร
คำตอบ:
AWS ใช้เวลาทั้งวันในการเผยแพร่ใบรับรองใหม่ไปยังโหนดทั้งหมด วันถัดไปเมื่อฉันลงชื่อเข้าใช้คอนโซล AWS ใบรับรองจะปรากฏในดรอปดาวน์และเปิดใช้งานด้วยและฉันสามารถกำหนดค่าการแจกจ่ายได้สำเร็จ
นอกจากนี้อย่าลืมเลือกus-east-1(เวอร์จิเนียเหนือ) เมื่อคุณขอใบรับรอง เป็นภูมิภาคเดียวที่รองรับในขณะนี้ (แม้ว่าที่เก็บข้อมูล / สินทรัพย์ของคุณจะอยู่ในภูมิภาคอื่นก็ตาม)
เฉพาะใบรับรองที่ลงทะเบียนใน AWS Certificate Manager (ACM) ในภูมิภาคสหรัฐอเมริกาฝั่งตะวันออก (เวอร์จิเนียเหนือ) เท่านั้นที่จะเปิดใช้งานเพื่อใช้ใน CloudFront
นำเข้าใบรับรองไปยัง IAM หรือสร้างผ่าน ACM ใน us-east-1 ตามที่กล่าวไว้ในความคิดเห็นอื่น ๆ
รอให้การตรวจสอบความถูกต้องสมบูรณ์เช่นไม่ใช่สีส้ม
เพียงแค่รอไม่กี่นาทีและโหลดdistribution settingsหน้าเว็บเพื่อดูตัวเลือก SSL ที่กำหนดเองเปิดใช้งาน
ผมมีปัญหาเดียวกันไม่ได้ใช้ของฉันAWSบัญชี root และเส้นทางที่ถูกกำหนดอย่างถูกต้องIAM/cloudfront/
ลงชื่อเข้าใช้คอนโซลและใช้ URL นี้: https://console.aws.amazon.com/acm/home?region=us-east-1#/wizard/และจะใช้งานได้ ที่สำคัญคือภูมิภาค
ฉันมีปัญหาที่คล้ายกันและทำให้ฉันสามารถนำเข้าใบรับรองไปยัง AWS Certificate Manager ได้อย่างราบรื่นมากขึ้น
หากคุณใช้ AWS Certificate Manager กับที่เก็บ S3 ตรวจสอบให้แน่ใจว่าคุณนำเข้าใบรับรองไปยังภูมิภาคสหรัฐอเมริกาฝั่งตะวันออก (เวอร์จิเนียเหนือ) ณ วันนี้นั่นเป็นภูมิภาคเดียวใน ACM ที่รองรับ S3 ดูhttps://docs.aws.amazon.com/acm/latest/userguide/acm-services.html
กลับไปที่หน้าแรกของ cloudfront หลังจากออกใบรับรองแล้วรีเฟรชหน้า มันได้ผลสำหรับฉัน
สาเหตุที่ไม่ปรากฏในตอนนี้น่าจะเป็นเพราะเส้นทาง iam ที่คุณตั้งไว้ไม่ใช่ / cloudfront / [1] คุณสามารถใช้ cli เดียวกับที่คุณใช้ในการอัปโหลดใบรับรองเพื่อเปลี่ยนเส้นทางเริ่มต้นของ / หรือคุณสามารถอัปโหลดใบรับรองอีกครั้ง โปรดแจ้งให้เราทราบหากไม่สามารถแก้ไขได้
ตรวจสอบให้แน่ใจว่าคุณไม่ได้อัปโหลดใบรับรองโดยใช้บัญชีรูท AWS หากคุณใช้บัญชีรูทใบรับรองจะปรากฏให้เห็น แต่คุณจะไม่สามารถเลือกได้
ให้สร้างผู้ใช้ IAM ใหม่ที่มีสิทธิ์เพียงพอ (ฉันใช้บัญชีที่มีการกำหนดนโยบายการดูแลระบบ) และอัปโหลดใบรับรองโดยใช้ข้อมูลรับรองเหล่านั้น ใบรับรองควรจะพร้อมใช้งาน
หากคุณกำลังขอใบรับรองในภูมิภาคอื่น (ไม่ใช่ us-east-1) ให้ตั้งค่าภูมิภาคของคุณเป็นus-east-1และขอใบรับรองอีกครั้ง ฉันขอชื่อโดเมนเดียวกันในap-Northeast-2และใช้งานได้ทันที
ใช้สิ่งนี้:
{
"Effect": "Allow",
"Action": [
"iam:DeleteServerCertificate",
"iam:UploadServerCertificate",
"iam:ListServerCertificates",
"iam:GetServerCertificate"
],
"Resource": "*"
}
ในกรณีของฉันไม่ได้ร้องขอ ACM ในภูมิภาคเหนือของเวอร์จิเนียหลังจากสถานะ ACM เปลี่ยนเป็นสีเขียวฉันต้องออกจากระบบและเข้าสู่ระบบเพื่อเปิดใช้งานปุ่ม
ฉันเห็นว่ามีคำตอบที่ดีมากมายอยู่แล้วและบางส่วนอาจเป็นสาเหตุที่ทำให้Custon SSL Certificateส่วนของคุณปิด ฉันคิดว่าฉันเพิ่งเจออีกอันหนึ่งและนี่คือกรณีของฉัน:
สำหรับ "บริการรวม" จำนวนมากที่มี CloudFront รองรับอัลกอริทึมและขนาดคีย์เพียงไม่กี่ขนาดเท่านั้น ฉันพยายามใช้ใบรับรอง RSA 4096 บิตและคีย์ที่มีความยาวเพียงพอ
ณ ตอนนี้สำหรับการใช้งานกับ "บริการรวม" AWS ยอมรับเฉพาะคีย์ความยาว 1024 หรือ 2048 บิต
กล่าวถึงที่นี่: https://docs.aws.amazon.com/acm/latest/userguide/import-certificate-prerequisites.html
หากใบรับรองไม่ปรากฏในรายการแบบเลื่อนลงคุณสามารถคัดลอกและวาง ARN แบบเต็มสำหรับใบรับรองได้ พบ ARN ในตัวจัดการใบรับรองโดยการเลือกใบรับรองที่คุณต้องการใช้
บัญชีราก AWS ไม่สามารถเลือกใบรับรองที่กำหนดเองใน CloudFront ได้
โปรดสร้างผู้ใช้ IAM ใหม่โดยใช้นโยบายด้านล่างและสร้างการแจกจ่าย CloudFront กับผู้ใช้นั้นและคุณสามารถเลือกใบรับรอง SSL ที่กำหนดเองได้
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": ["*"],
"Resource": ["*"]
}]
}