Wie verwende ich ACM, um den Domain-Namenfehler „InvalidViewerCertificate“ der CloudFront-Distribution zu beheben?

Lösung

Bestätige, dass dein Zertifikat alle Anforderungen erfüllt

Du erhältst die folgende Fehlermeldung:

 „The specified SSL certificate doesn't exist, isn't in us-east-1 region, isn't valid, or doesn't include a valid certificate chain.“

Gehe wie folgt vor, um dieses Problem zu beheben:

• Stelle sicher, dass das SSL-Zertifikat die Voraussetzungen für den Import in ACM und die Anforderungen für die Verwendung von SSL/TLS-Zertifikaten mit CloudFront erfüllt.
  Hinweis: Es hat sich bewährt, ein öffentliches Zertifikat von ACM anzufragen.
• Überprüfe die Richtlinie des AWS Key Management Service (AWS KMS) auf eine ausdrückliche Zugriffsverweigerungsanwesung. Entferne explizite Zugriffsverweigerungen für die Aktionen kms:DescribeKey, kms:CreateGrant oder kms:*. Erlaube CloudFront außerdem, die Aktionen auszuführen.

Verwende außerdem die folgenden Konfigurationen für das Zertifikat:

• Du musst das Zertifikat in die Region USA Ost (Nord-Virginia) importieren.
• Verwende einen Zertifikatsschlüssel, der 4096 Bit oder kleiner ist.
• Schütze das Passwort nicht.
• PEM-kodiere das Zertifikat.

Verwende ein Zertifikat, das den CNAME enthält

Du erhältst die folgende Fehlermeldung:

„To add an alternate domain name (CNAME) to a CloudFront distribution, you must attach a trusted certificate that validates your authorization to use the domain name.“

Dieser Fehler tritt auf, wenn der Subject Alternative Name (SAN) auf dem Zertifikat nicht den CNAME enthält, den du in der CloudFront-Verteilung angegeben hast.

Frage ein öffentliches Zertifikat an, um dieses Problem zu beheben. Du kannst dich auch an deine Zertifizierungsstelle (CA) wenden, um ein aktualisiertes Zertifikat zu erhalten, das die CNAMEs in der Distribution enthält.

Verwende fünf oder weniger Zertifikate

Du erhältst die folgende Fehlermeldung:

„The certificate that is attached to your distribution has too many certificates in the certificate chain.“

Dieser Fehler tritt auf, wenn du die maximale Anzahl von fünf Zertifikaten in der Kette überschreitest. Verwende eine neue Zertifikatskette mit fünf oder weniger Zertifikaten, um dieses Problem zu beheben.

Wenn deine aktuelle CA fünf oder weniger Zertifikate nicht unterstützt, frage ein öffentliches Zertifikat an.

Hole dir eine aktualisierte Zertifikatskette

Du erhältst eine der folgenden Fehlermeldungen:

„The certificate that is attached to your distribution has one or more expired certificates in the certificate chain. Make sure that each certificate in the chain is valid for the current date by reviewing the Not Valid After field.“

-oder-

„The certificate that is attached to your distribution has one or more certificates in the certificate chain that aren't valid yet. Make sure that each certificate in the chain is valid for the current date by reviewing the Not Valid Before field.“

Wenn dein Zertifikat abgelaufen ist, musst du eine aktualisierte Zertifikatskette von deiner CA erhalten.

Führe die folgenden Schritte aus:

1. Lade die richtigen Kettendateien von deiner CA herunter.
2. Importiere das Zertifikat und die Kette erneut in ACM oder AWS Identity and Access Management (IAM).
3. Versuche erneut, deine CloudFront-Distribution zu erstellen oder zu aktualisieren.

Wenn dein Zertifikat noch nicht gültig ist, kannst du es nicht importieren. Überprüfe das Zertifikatsfeld „Nicht gültig vor“ und wiederhole dann die Anfrage.

Wenn du die Anfrage nicht wiederholen kannst, fordere ein öffentliches Zertifikat an.

Verwende eine vertrauenswürdige CA

Du erhältst die folgende Fehlermeldung:

 „The certificate that is attached to your distribution was not issued by a trusted Certificate Authority.“

Um dieses Problem zu beheben, hole dir ein Zertifikat von einer vertrauenswürdigen CA für CloudFront, mit dem du einen CNAME-Eintrag verwenden kannst. Wenn deine aktuelle CA dieses Szenario nicht unterstützt, frage ein öffentliches Zertifikat an.

Hinweis: Du kannst ein selbstsigniertes Zertifikat verwenden, um nur einen vorhandenen CNAME-Eintrag zu validieren, aber keinen neuen CNAME-Eintrag.

Überprüfe die Formatierung im SAN-Feld

Du erhältst die folgende Fehlermeldung:

„The certificate that is attached to your distribution has a value in the SAN field that is not correctly formatted.“

CloudFront verlangt, dass jeder Eintrag entweder ein DNS-Name mit einem vollqualifizierten Domainnamen (FQDN) oder die IP-Adresse sein muss. Platzhaltereinträge sind gültig, du kannst jedoch keinen CNAME hinzufügen, der sich auf einer höheren oder niedrigeren Ebene als der Platzhalter befindet.

Wenn deine aktuelle CA dieses Szenario nicht unterstützt, frage ein öffentliches Zertifikat an.

Füge den CNAME zu den API-Aufrufen hinzu

Du erhältst folgende Fehlermeldung:

„The certificate that you specified doesn't cover the alternate domain name (CNAME) that you're trying to add.“

Dieser Fehler tritt auf, wenn der CNAME, den du deiner Distribution zuordnen möchtest, nicht im SAN des Zertifikats enthalten ist. Um dieses Problem zu lösen, musst du den CNAME in den API-Aufrufen CreateDistribution oder UpdateDistribution angeben.

Wiederhole die API-Aufrufe

Du erhältst die folgende Fehlermeldung:

„CloudFront encountered an internal error. Try again.“

Wenn du die oben genannte Fehlermeldung erhältst, wenn du die API-Aufrufe CreateDistribution oder UpdateDistribution ausführst, wiederhole die Aufrufe. Wenn das Problem über einen längeren Zeitraum andauert, überprüfe das AWS-Servicestatus-Dashboard auf verwandte Probleme.

Ähnliche Informationen

Warum kann ich kein benutzerdefiniertes SSL/TLS-Zertifikat für meine CloudFront-Distribution auswählen?