Como faço para solucionar problemas com um certificado SSL personalizado usado para minha distribuição do CloudFront?

4 minuto de leitura
0

Desejo solucionar problemas com um certificado SSL personalizado no AWS Certificate Manager (ACM) ou no AWS Identity and Access Management (AWS IAM) para minha distribuição do Amazon CloudFront.

Breve descrição

Confira a seguir os problemas mais comuns de um certificado SSL personalizado usado para sua distribuição do CloudFront:

  • Ao configurar a distribuição, você não tem a opção de escolher seu certificado SSL personalizado.
  • Não é possível escolher o certificado SSL, mesmo que possa usar o mesmo certificado com seu balanceador de carga.

Resolução

Observação: Se você receber erros ao executar comandos da AWS Command Line Interface (AWS CLI), consulte Solução de erros da AWS CLI. Além disso, verifique se você está usando a versão mais recente da AWS CLI.

Para solucionar problemas com um certificado SSL personalizado para sua distribuição do CloudFront, verifique o seguinte:

Se você usar um certificado solicitado ou importado para o ACM, confirme se seu certificado atende aos requisitos

Se você usar um certificado importado para o IAM, verifique o caminho do CloudFront

Ao importar seu certificado SSL para o IAM, forneça o caminho correto para que o CloudFront possa usar o certificado. Execute o seguinte comando da AWS CLI para fazer upload do seu certificado com um caminho especificado do CloudFront:

Observação: antes de executar esse comando, certifique-se de substituir todos os valores pelos detalhes do seu certificado e da distribuição do CloudFront.

aws iam upload-server-certificate --server-certificate-name CertificateName--certificate-body file://public_key_certificate_file --private-key file://privatekey.pem
--certificate-chain file://certificate_chain_file --path /cloudfront/DistributionName/

Se você não fez o upload do certificado com o caminho do CloudFront, execute este comando para atualizar seu certificado com o caminho:

aws iam update-server-certificate --server-certificate-name CertificateName --new-path /cloudfront/DistributionName/

Observação: depois de adicionar um certificado a uma distribuição do CloudFront, o status da distribuição muda de Implantado para Em andamento. O status da distribuição volta para Implantado quando a alteração é implantada em todos os locais de borda do CloudFront. O tempo de implantação típico é de 5 minutos.

Confirme que você tem as permissões necessárias ao atribuir um certificado do ACM ou do IAM à distribuição do CloudFront

O usuário ou a função do IAM que você usa para atribuir o certificado deve ter as seguintes permissões:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "acm:ListCertificates",
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "cloudfront:ListDistributions",
        "cloudfront:ListStreamingDistributions"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "cloudfront:List*",
        "cloudfront:Get*",
        "cloudfront:Update*"
      ],
      "Resource": "arn:aws:cloudfront::account-id:distribution/distribution-id"
    },
    {
      "Effect": "Allow",
      "Action": "iam:ListServerCertificates",
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "iam:GetServerCertificate",
        "iam:UpdateServerCertificate"
      ],
      "Resource": "arn:aws:iam::account-id:server-certificate/certificate-name-with-path"
    }
  ]
}

Informações relacionadas

Como uso o ACM para solucionar o erro de nome de domínio “InvalidViewerCertificate” da distribuição do CloudFront?

Requisitos para usar certificados SSL/TLS com o CloudFront

AWS OFICIAL
AWS OFICIALAtualizada há 2 meses