Comment résoudre des problèmes lorsque j'utilise un certificat SSL personnalisé pour ma distribution CloudFront ?

Résolution

Remarque : si des erreurs surviennent lorsque vous exécutez des commandes de l'interface de la ligne de commande AWS (AWS CLI), consultez la section Résoudre des erreurs liées à l’AWS CLI. Vérifiez également que vous utilisez bien la version la plus récente de l'AWS CLI.

Utiliser une région prise en charge pour les certificats que vous avez demandés à ACM ou importés dans ACM

Pour attribuer un certificat AWS Certificate Manager (ACM) à une distribution CloudFront, vous devez demander ou importer le certificat dans une région AWS prise en charge. Si vous ne demandez ni n'importez votre certificat dans une région prise en charge, un message d'erreur s'affiche.

Spécifier le chemin CloudFront approprié pour les certificats que vous avez importés dans IAM

Il est recommandé d'utiliser ACM pour importer votre certificat. Si vous importez votre certificat SSL dans Gestion des identités et des accès AWS (AWS IAM), indiquez le chemin approprié afin que CloudFront puisse utiliser le certificat.

Pour importer votre certificat avec un chemin CloudFront donné, exécutez la commande upload-server-certificate suivante de l'AWS CLI :

aws iam upload-server-certificate --server-certificate-name CertificateName--certificate-body file://public_key_certificate_file --private-key file://privatekey.pem --certificate-chain file://certificate_chain_file --path /cloudfront/DistributionName/

Remarque : remplacez CertificateName par le nom de votre certificat, public_key_certificate_file par le chemin de votre fichier de clé publique, privatekey.pem par le chemin de votre fichier de clé privée, certificate_chain_file par le chemin de votre fichier de chaîne et DistributionName par votre distribution CloudFront.

Si vous n'avez pas spécifié de chemin CloudFront lors de l'importation de votre certificat, exécutez la commande update-server-certificate suivante de l’AWS CLI pour mettre à jour votre certificat avec le chemin :

aws iam update-server-certificate --server-certificate-name CertificateName --new-path /cloudfront/DistributionName/

Remarque : remplacez CertificateName par le nom de votre certificat et DistributionName par le nom de votre distribution CloudFront.

Une fois que vous avez ajouté un certificat à une distribution CloudFront, le statut de la distribution passe de Déployé à En cours. Le statut de la distribution repasse à Déployé lorsque la modification est déployée sur tous les emplacements périphériques de CloudFront.

Vérifier que vous disposez des autorisations requises

Si vous attribuez un certificat depuis ACM ou IAM, l'utilisateur ou le rôle IAM que vous utilisez pour attribuer le certificat doit disposer des autorisations suivantes :

{  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "acm:ListCertificates",
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "cloudfront:ListDistributions",
        "cloudfront:ListStreamingDistributions"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "cloudfront:List*",
        "cloudfront:Get*",
        "cloudfront:Update*"
      ],
      "Resource": "arn:aws:cloudfront::account-id:distribution/distribution-id"
    },
    {
      "Effect": "Allow",
      "Action": "iam:ListServerCertificates",
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "iam:GetServerCertificate",
        "iam:UpdateServerCertificate"
      ],
      "Resource": "arn:aws:iam::account-id:server-certificate/certificate-name-with-path"
    }
  ]
}

Informations connexes

Comment résoudre les erreurs de nom de domaine « InvalidViewerCertificate » de la distribution CloudFront à l’aide d’ACM ?

Exigences relatives à l'utilisation de certificats SSL/TLS avec CloudFront

Taille de la clé de certificat