Não é possível selecionar o certificado SSL personalizado (armazenado no AWS IAM)


96

Vou criar uma nova distribuição no CloudFront . Já carreguei meu certificado SSL no AWS IAM usando AWS CLI. Esse certificado aparece na lista suspensa Certificado SSL personalizado na nova página de distribuição, mas está DESATIVADO .

Alguém pode me dizer por que isso acontece? Como selecionar meu certificado SSL personalizado para esta distribuição?


você carregou o certificado usando a conta root?
mohamnag

Respostas:


123

Demorou um dia inteiro para a AWS propagar o novo certificado para todos os seus nós. No dia seguinte, quando fiz login em meu console AWS, o certificado apareceu no menu suspenso e também foi habilitado e pude configurar a distribuição com sucesso.

Além disso, certifique-se de selecionar us-east-1(N. Virginia) ao fazer a solicitação de certificado; é a única região que oferece suporte no momento (mesmo se seu intervalo / ativo estiver em outra região)


3
Estou

12
Refazer o certificado em N. Virginia resolveu meu problema. É estranho, certificado, na verdade, tem status de problema diferente em regiões diferentes ... lol
Neekey

3
Ao criar uma nova distribuição do CloudFront, a Amazon afirma especificamente "Você pode usar um certificado armazenado no AWS Certificate Manager (ACM) na região Leste dos EUA (N. Virgínia) ou pode usar um certificado armazenado no IAM."
Shea

6
De acordo com docs.aws.amazon.com/acm/latest/userguide/acm-services.html e aws.amazon.com/certificate-manager/faqs , "para usar um certificado ACM com o CloudFront, você deve solicitar ou importar o certificado na região Leste dos EUA (N. Virginia) ".
Big Pumpkin de

Criei um certificado usando a região N.Virginia em ACM e validação de DNS. Estava funcionando em 10 minutos.
Deepan Prabhu Babu de

38

Apenas os certificados registrados no AWS Certificate Manager (ACM) na região leste dos EUA (N. Virginia) serão habilitados para uso no CloudFront


3
Bom que foi documentado em algum lugar: D
Baconbeastnz

27
  • Importe o certificado para o IAM ou crie um por meio do ACM em us-east-1, conforme mencionado nos outros comentários.

  • Aguarde a conclusão da validação, ou seja, não é laranja.

  • Carregue a página de edição de configuração de distribuição do cloudfront.
  • Se a opção Custom SSL estiver acinzentada, saia do console e faça login novamente. Após esta etapa, a opção acinzentada ganhou vida para mim. Imagino que seja armazenado em cache de alguma forma e o logout-login o atualize.

2
O que?! É 2020 agora, na verdade ainda é o conserto.
y3sh

3
Sim, perdi uma hora da minha vida para descobrir que você precisa sair e fazer login ...
peter_v

Esta é a melhor resposta. Foi o logout / login que finalmente consertou isso para mim depois de registrar meu certificado ACM.
MillerMedia

19

Espere alguns minutos e recarregue a distribution settingspágina para ver a opção SSL personalizada ATIVADA .

Eu tive o mesmo problema, não usei minha AWSconta root e o IAMcaminho foi configurado corretamente para /cloudfront/.



14

Eu tive problemas semelhantes e funcionou mais facilmente para mim importar o certificado para o AWS Certificate Manager.

Se você estiver usando o AWS Certificate Manager com um intervalo S3, certifique-se de importar o certificado para a região Leste dos EUA (N. Virgínia). A partir de hoje, essa é a única região no ACM que oferece suporte ao S3. Veja https://docs.aws.amazon.com/acm/latest/userguide/acm-services.html


2
Spot on! Esta é a solução para este problema - Obrigado Ryan
EdsonF

3
Essa é a solução! Link mais relevante: docs.aws.amazon.com/acm/latest/userguide/acm-regions.html : Para usar um certificado ACM com o Amazon CloudFront, você deve solicitar ou importar o certificado na região Leste dos EUA (Virgínia Norte) . Os certificados ACM nesta região que estão associados a uma distribuição do CloudFront são distribuídos para todos os locais geográficos configurados para essa distribuição.
Illagrenan

9

Volte para a página inicial do cloudfront após o certificado ser emitido e atualize a página. Funcionou para mim


1
Qual é uma situação constrangedora e quem sabe esta é a solução: D
Ariful Haque


4

Certifique-se de que você não está carregando o certificado usando uma conta raiz da AWS. Se você usar uma conta root, o certificado ficará visível, mas você não poderá selecioná-lo.

Em vez disso, crie um novo usuário IAM com direitos adequados (usei uma conta com uma política administrativa atribuída) e carregue o certificado usando essas credenciais. O certificado deve então estar disponível.


Isso funcionou para mim, criei o certificado como um usuário root, mas a configuração SSL personalizada foi desabilitada ao editar a distribuição, embora eu pudesse ver o certificado como uma opção no menu suspenso. Depois de criar um usuário administrador e entrar com essa conta, a opção não foi mais desativada.
Simon L. Brazell

3

Se você estiver solicitando um certificado em outra região (não us-east-1), defina sua região como us-east-1 e solicite um certificado novamente. Acabei de solicitar o mesmo nome de domínio no ap-northeast-2 e ele funciona imediatamente.


1

Usa isto:

{
"Effect": "Allow",
"Action": [
    "iam:DeleteServerCertificate",
    "iam:UploadServerCertificate",
    "iam:ListServerCertificates",
    "iam:GetServerCertificate"
],
    "Resource": "*"
}

1
Olá @ d.balu, poderia dar mais alguma explicação para a sua resposta?
toti08,

0

Vejo que já existem muitas respostas boas, e qualquer uma delas pode ser a razão de seu Custon SSL Certificate seção foi desativada. Acho que acabei de encontrar outro e este foi o meu caso:

Para muitos "serviços integrados", que inclui o CloudFront, apenas alguns algoritmos e tamanhos de chave são suportados. Eu estava tentando usar meu certificado RSA de 4096 bits e uma chave de comprimento adequado.

A partir de agora, para uso com os "serviços integrados", a AWS aceita apenas comprimentos de chave de 1024 ou 2048 bits.

Mencionado aqui: https://docs.aws.amazon.com/acm/latest/userguide/import-certificate-prerequisites.html


0

Se o certificado não estiver aparecendo na lista suspensa, você pode copiar e colar o ARN completo do certificado. O ARN é encontrado no Gerenciador de certificados, selecionando o certificado que você deseja usar.


0

A conta raiz da AWS não consegue selecionar um certificado personalizado no CloudFront.

Crie um novo usuário IAM com a política abaixo e crie a distribuição do CloudFront com esse usuário e você pode selecionar um certificado SSL personalizado.

{
  "Version": "2012-10-17",
  "Statement": [{
    "Effect": "Allow",
    "Action": ["*"],
    "Resource": ["*"]
  }]
}
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.