Je souhaite résoudre les problèmes liés à un certificat SSL personnalisé sur AWS Certificate Manager (ACM) ou AWS Identity and Access Management (IAM) pour ma distribution Amazon CloudFront.
Brève description
Les problèmes les plus courants liés à un certificat SSL personnalisé utilisé pour votre distribution CloudFront sont les suivants :
- Lorsque vous configurez la distribution, vous n'avez pas la possibilité de choisir votre certificat SSL personnalisé.
- Vous ne pouvez pas choisir le certificat SSL même si vous pouvez utiliser le même certificat avec votre équilibreur de charge.
Résolution
Remarque : Si des erreurs surviennent lorsque vous exécutez des commandes de l'interface de la ligne de commande AWS (AWS CLI), consultez la section Résoudre des erreurs liées à l’AWS CLI. Vérifiez également que vous utilisez bien la version la plus récente de l’AWS CLI.
Pour résoudre les problèmes liés à un certificat SSL personnalisé pour votre distribution CloudFront, vérifiez les points suivants :
Si vous utilisez un certificat demandé ou importé vers ACM, vérifiez que votre certificat répond aux exigences
Si vous utilisez un certificat importé dans IAM, vérifiez le chemin CloudFront
Lorsque vous importez votre certificat SSL dans IAM, indiquez le chemin correct afin que CloudFront puisse utiliser le certificat. Exécutez la commande AWS CLI suivante pour télécharger votre certificat avec un chemin CloudFront spécifié :
Remarque : Avant d'exécuter cette commande, veillez à remplacer toutes les valeurs par les détails de votre certificat et de la distribution CloudFront.
aws iam upload-server-certificate --server-certificate-name CertificateName--certificate-body file://public_key_certificate_file --private-key file://privatekey.pem
--certificate-chain file://certificate_chain_file --path /cloudfront/DistributionName/
Si vous n'avez pas chargé votre certificat avec le chemin CloudFront, exécutez cette commande pour mettre à jour votre certificat avec le chemin :
aws iam update-server-certificate --server-certificate-name CertificateName --new-path /cloudfront/DistributionName/
Remarque : Une fois que vous avez ajouté un certificat à une distribution CloudFront, le statut de la distribution passe de Déployé à En cours. Le statut de la distribution repasse à Déployé lorsque la modification est déployée sur tous les emplacements périphériques de CloudFront. Le temps de déploiement type est de 5 minutes.
Vérifiez que vous disposez des autorisations requises lorsque vous attribuez un certificat d'ACM ou d'IAM à la distribution CloudFront
L'utilisateur ou le rôle IAM que vous utilisez pour attribuer le certificat doit disposer des autorisations suivantes :
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "acm:ListCertificates",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"cloudfront:ListDistributions",
"cloudfront:ListStreamingDistributions"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"cloudfront:List*",
"cloudfront:Get*",
"cloudfront:Update*"
],
"Resource": "arn:aws:cloudfront::account-id:distribution/distribution-id"
},
{
"Effect": "Allow",
"Action": "iam:ListServerCertificates",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:GetServerCertificate",
"iam:UpdateServerCertificate"
],
"Resource": "arn:aws:iam::account-id:server-certificate/certificate-name-with-path"
}
]
}
Informations connexes
Comment utiliser ACM pour résoudre l'erreur de nom de domaine « InvalidViewerCertificate » de la distribution CloudFront ?
Exigences relatives à l'utilisation de certificats SSL/TLS avec CloudFront