Como faço para solucionar problemas com um certificado SSL personalizado usado para minha distribuição do CloudFront?
Desejo solucionar problemas com um certificado SSL personalizado no AWS Certificate Manager (ACM) ou no AWS Identity and Access Management (AWS IAM) para minha distribuição do Amazon CloudFront.
Breve descrição
Confira a seguir os problemas mais comuns de um certificado SSL personalizado usado para sua distribuição do CloudFront:
- Ao configurar a distribuição, você não tem a opção de escolher seu certificado SSL personalizado.
- Não é possível escolher o certificado SSL, mesmo que possa usar o mesmo certificado com seu balanceador de carga.
Resolução
Observação: Se você receber erros ao executar comandos da AWS Command Line Interface (AWS CLI), consulte Solução de erros da AWS CLI. Além disso, verifique se você está usando a versão mais recente da AWS CLI.
Para solucionar problemas com um certificado SSL personalizado para sua distribuição do CloudFront, verifique o seguinte:
Se você usar um certificado solicitado ou importado para o ACM, confirme se seu certificado atende aos requisitos
-
Para atribuir um certificado ACM a uma distribuição do CloudFront, solicite ou importe o certificado na região Leste dos EUA (Virgínia do Norte). Se você usa o console do ACM, verifique o seletor de região na barra de navegação. Confirme se a opção Leste dos EUA (Virgínia do Norte) está selecionada antes de solicitar ou importar o certificado.
Observação: depois de atribuir um certificado ACM a uma distribuição do CloudFront, o certificado é distribuído para todos os locais da borda da classe de preço da distribuição do CloudFront.
-
Depois de usar a validação de DNS ou a validação de e-mail para validar seu certificado ACM, certifique-se de que o status do certificado seja Emitido. O status deve ser Emitido antes que você possa atribuir o certificado a uma distribuição do CloudFront.
-
O CloudFront oferece suporte a chaves RSA de 1024 bits, 2048 bits, 3072 bits e 4096 bits.
-
Para certificados importados, certifique-se de que o certificado atenda aos pré-requisitos para importar um certificado.
Se você usar um certificado importado para o IAM, verifique o caminho do CloudFront
Ao importar seu certificado SSL para o IAM, forneça o caminho correto para que o CloudFront possa usar o certificado. Execute o seguinte comando da AWS CLI para fazer upload do seu certificado com um caminho especificado do CloudFront:
Observação: antes de executar esse comando, certifique-se de substituir todos os valores pelos detalhes do seu certificado e da distribuição do CloudFront.
aws iam upload-server-certificate --server-certificate-name CertificateName--certificate-body file://public_key_certificate_file --private-key file://privatekey.pem --certificate-chain file://certificate_chain_file --path /cloudfront/DistributionName/
Se você não fez o upload do certificado com o caminho do CloudFront, execute este comando para atualizar seu certificado com o caminho:
aws iam update-server-certificate --server-certificate-name CertificateName --new-path /cloudfront/DistributionName/
Observação: depois de adicionar um certificado a uma distribuição do CloudFront, o status da distribuição muda de Implantado para Em andamento. O status da distribuição volta para Implantado quando a alteração é implantada em todos os locais de borda do CloudFront. O tempo de implantação típico é de 5 minutos.
Confirme que você tem as permissões necessárias ao atribuir um certificado do ACM ou do IAM à distribuição do CloudFront
O usuário ou a função do IAM que você usa para atribuir o certificado deve ter as seguintes permissões:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "acm:ListCertificates", "Resource": "*" }, { "Effect": "Allow", "Action": [ "cloudfront:ListDistributions", "cloudfront:ListStreamingDistributions" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "cloudfront:List*", "cloudfront:Get*", "cloudfront:Update*" ], "Resource": "arn:aws:cloudfront::account-id:distribution/distribution-id" }, { "Effect": "Allow", "Action": "iam:ListServerCertificates", "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:GetServerCertificate", "iam:UpdateServerCertificate" ], "Resource": "arn:aws:iam::account-id:server-certificate/certificate-name-with-path" } ] }
Informações relacionadas
Vídeos relacionados
![Assista ao vídeo de Vinay para saber mais (2:06) Assista ao vídeo de Vinay para saber mais (2:06)](https://i.ytimg.com/vi/AY0iJyCOkOc/mqdefault.jpg)
![AWS OFICIAL](/static/images/aws.png)
Conteúdo relevante
- feita há 14 diaslg...
- Resposta aceitafeita há 12 diaslg...
- feita há 14 diaslg...
- feita há um mêslg...
- AWS OFICIALAtualizada há 3 anos
- AWS OFICIALAtualizada há 3 anos
- AWS OFICIALAtualizada há 2 anos
- AWS OFICIALAtualizada há 3 meses