Не вдається вибрати власний сертифікат SSL (зберігається в AWS IAM)


98

Я збираюся створити новий дистрибутив на CloudFront . Я вже завантажив свій сертифікат SSL в AWS IAM за допомогою AWS CLI. Цей сертифікат відображається у спадному меню "Спеціальний сертифікат SSL" на новій сторінці розповсюдження, але його ВИМКНЕНО .

Хтось може сказати мені, чому це так? Як вибрати власний сертифікат SSL для цього розповсюдження?


ви завантажили сертифікат, використовуючи обліковий запис root?
mohamnag

Відповіді:


124

AWS зайняв цілий день, щоб розповсюдити новий сертифікат на всі його вузли. Наступного дня, коли я увійшов у свою консоль AWS, сертифікат з’явився у спадному меню та був також увімкнений, і я міг успішно налаштувати розподіл.

Крім того, обов’язково виберіть us-east-1(Північна Вірджинія), коли робите запит на сертифікат; наразі це єдиний регіон, який підтримує його (навіть якщо ваш сегмент / актив знаходиться в іншому регіоні)


3
Чекаю вже 3 дні, на жаль
elsurudo

12
Повторити сертифікат у штаті Вірджинія вирішив мою проблему. Це дивно сертифіковано, насправді має різний статус видачі в різних регіонах ... ха-ха
Нікі

3
Створюючи новий дистрибутив CloudFront, Amazon спеціально заявляє: "Ви можете використовувати сертифікат, який зберігається в AWS Certificate Manager (ACM) у регіоні Східної Америки (штат Північна Вірджинія), або ви можете використовувати сертифікат, що зберігається в IAM".
Ши

6
Згідно з документами docs.aws.amazon.com/acm/latest/userguide/acm-services.html та aws.amazon.com/certificate-manager/faqs , "щоб використовувати сертифікат ACM із CloudFront, потрібно запитати або імпортувати сертифікат у регіоні Східної Америки (Північна Вірджинія) ".
Великий Гарбуз

я створив сертифікат, використовуючи регіон N.Virginia в ACM та перевірку DNS. Це працювало за 10 хвилин.
Діпан Прабху Бабу,

39

Лише сертифікати, зареєстровані в менеджері сертифікатів AWS (ACM) у східному регіоні США (штат Вірджинія), будуть доступними для використання в CloudFront


3
Приємно, що це десь було задокументовано: D
Baconbeastnz

27
  • Імпортуйте сертифікат в IAM або створіть його через ACM у нас-схід-1, як зазначалося в інших коментарях.

  • Дочекайтеся завершення перевірки, тобто не помаранчевої.

  • Завантажте сторінку редагування налаштувань розповсюдження в хмарній мережі.
  • Якщо опція Спеціальний SSL є сірою, вийдіть з консолі та увійдіть назад. Після цього кроку опція сірого кольору для мене ожила. Я уявляю, що це якось кешовано, і вихід із системи-вхід оновить його.

2
Що?! Зараз 2020 рік, насправді це все ще виправлення.
y3sh

3
Так, втратив годину свого життя, щоб зрозуміти, що вам потрібно вийти і увійти ...
peter_v

Це найкраща відповідь. Це було вийти / увійти, що врешті-решт це виправило для мене після реєстрації мого сертифіката ACM.
MillerMedia

19

Просто почекайте кілька хвилин і перезавантажте distribution settingsсторінку, щоб побачити спеціальну опцію SSL УВІМКНЕНО .

У мене була та ж проблема, я не використовував свій AWSкореневий обліковий запис, і IAMшлях був правильно встановлений /cloudfront/.



14

У мене були подібні проблеми, і мені було легше працювати з імпортом сертифіката в AWS Certificate Manager.

Якщо ви використовуєте менеджер сертифікатів AWS із сегментом S3, переконайтеся, що імпортуєте сертифікат до регіону Східної США (штат Вірджинія). На сьогодні це єдиний регіон в ACM, який підтримує S3. Див. Https://docs.aws.amazon.com/acm/latest/userguide/acm-services.html


2
Пляма на! Це рішення цієї проблеми - Дякую Райану
EdsonF

3
Це рішення! Більш відповідне посилання: docs.aws.amazon.com/acm/latest/userguide/acm-regions.html : Щоб використовувати сертифікат ACM із Amazon CloudFront, потрібно подати запит або імпортувати сертифікат у Східному регіоні США (штат Вірджинія). . Сертифікати ACM у цьому регіоні, пов’язані з дистрибутивом CloudFront, розподіляються по всіх географічних розташуваннях, налаштованих для цього розподілу.
іллагренан,

11

Поверніться на домашню сторінку Cloudfront після видачі сертифіката та оновіть сторінку. У мене це спрацювало


2
У незручній ситуації і хто б знав, що це рішення: D
Ariful Haque

5

Причина, через яку він зараз не відображається, - це те, що встановлений вами шлях iam не є / cloudfront / [1]. Ви можете використовувати ту саму кліпу, яку використовували для завантаження сертифіката, щоб змінити шлях за замовчуванням / або ви можете завантажити сертифікат знову. Повідомте мене, якщо це не допоможе.

  1. http://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/SecureConnections.html#CNAMEsAndHTTPS

4

Переконайтеся, що ви не завантажуєте сертифікат за допомогою кореневого облікового запису AWS. Якщо ви використовуєте кореневий обліковий запис, сертифікат буде видно, але ви не зможете його вибрати.

Натомість створіть нового користувача IAM із відповідними правами (я використовував обліковий запис із призначеною адміністративною політикою) та завантажуйте сертифікат, використовуючи ці облікові дані. Тоді сертифікат повинен бути доступним.


Це спрацювало для мене, я створив сертифікат як кореневий користувач, але користувальницькі налаштування SSL були відключені під час редагування дистрибутива, хоча я міг бачити сертифікат як опцію у спадному меню. Після створення користувача адміністратора та входу в систему під цим обліковим записом параметр більше не вимикався.
Simon L. Brazell

3

Якщо ви запитуєте сертифікат в іншому регіоні (не нам-схід-1), встановіть для свого регіону нас-схід-1 і знову запитуйте сертифікат. Я просто запитую те саме доменне ім’я в ap-northeast-2, і воно працює негайно.


1

Використовуй це:

{
"Effect": "Allow",
"Action": [
    "iam:DeleteServerCertificate",
    "iam:UploadServerCertificate",
    "iam:ListServerCertificates",
    "iam:GetServerCertificate"
],
    "Resource": "*"
}

1
Привіт @ d.balu, не могли б Ви надати ще якесь пояснення Вашої відповіді?
toti08

0

Я бачу, що вже є багато хороших відповідей, і будь-яка з них може бути причиною вашої Custon SSL Certificate відключення розділу. Я думаю, що я щойно знайшов ще одну, і це було саме для мене:

Для багатьох "інтегрованих служб", які включають CloudFront, підтримується лише декілька алгоритмів та розмірів ключів. Я намагався використовувати свій 4096-бітний сертифікат RSA та ключ належної довжини.

На даний момент для використання з «інтегрованими послугами» AWS приймає лише довжини ключів 1024 або 2048 біт.

Згадується тут: https://docs.aws.amazon.com/acm/latest/userguide/import-certificate-prerequisites.html


0

Якщо сертифікат не відображається у випадаючому списку, ви можете скопіювати та вставити повний ARN для сертифіката. ARN можна знайти в диспетчері сертифікатів, вибравши сертифікат, який ви хочете використовувати.


0

Кореневий обліковий запис AWS не може вибрати власний сертифікат у CloudFront.

Будь ласка, створіть нового користувача IAM із зазначеною нижче політикою та створіть дистрибутив CloudFront з цим користувачем, і ви зможете вибрати власний сертифікат SSL.

{
  "Version": "2012-10-17",
  "Statement": [{
    "Effect": "Allow",
    "Action": ["*"],
    "Resource": ["*"]
  }]
}
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.