Tidak dapat memilih Sertifikat SSL Kustom (disimpan di AWS IAM)


98

Saya akan membuat distribusi baru di CloudFront . Saya sudah mengunggah sertifikat SSL saya di AWS IAM menggunakan AWS CLI. Sertifikat itu muncul di tarik-turun Sertifikat SSL Khusus pada halaman distribusi baru tetapi DINONAKTIFKAN .

Dapatkah seseorang memberi tahu saya mengapa demikian? Bagaimana cara memilih sertifikat SSL kustom saya untuk distribusi ini?


apakah Anda mengunggah sertifikat menggunakan akun root?
mohamnag

Jawaban:


125

Perlu waktu satu hari penuh bagi AWS untuk menyebarkan sertifikat baru ke semua node-nya. Keesokan harinya ketika saya masuk ke konsol AWS saya, sertifikat muncul di tarik-turun dan diaktifkan juga dan saya dapat berhasil mengonfigurasi distribusi.

Selain itu, pastikan untuk memilih us-east-1(Virginia U.) saat Anda membuat permintaan sertifikat; ini satu-satunya wilayah yang mendukungnya saat ini (meskipun keranjang / aset Anda berada di wilayah lain)


3
Sudah

12
Ulangi sertifikat di N. Virginia memecahkan masalah saya. Anehnya sertifikat sebenarnya memiliki status masalah yang berbeda di berbagai wilayah ... lol
Neekey

3
Saat membuat distribusi CloudFront baru, Amazon secara spesifik menyatakan "Anda dapat menggunakan sertifikat yang disimpan di AWS Certificate Manager (ACM) di Wilayah AS Timur (Virginia U.), atau Anda dapat menggunakan sertifikat yang disimpan di IAM."
Shea

6
Menurut docs.aws.amazon.com/acm/latest/userguide/acm-services.html dan aws.amazon.com/certificate-manager/faqs , "untuk menggunakan sertifikat ACM dengan CloudFront, Anda harus meminta atau mengimpor sertifikat di wilayah AS Timur (Virginia U.) ".
Big Pumpkin

saya membuat sertifikat menggunakan wilayah N.Virginia di ACM, dan validasi DNS. Itu bekerja dalam 10 menit.
Deepan Prabhu Babu

39

Hanya sertifikat yang terdaftar di AWS Certificate Manager (ACM) di Wilayah AS Timur (Virginia U.) yang akan diaktifkan untuk digunakan di CloudFront


3
Senang itu didokumentasikan di suatu tempat: D
Baconbeastnz

30
  • Impor sertifikat ke IAM atau buat melalui ACM di us-east-1 seperti yang disebutkan di komentar lain.

  • Tunggu validasi selesai, yaitu bukan oranye.

  • Muat halaman edit pengaturan distribusi cloudfront.
  • Jika opsi SSL Khusus berwarna abu-abu, keluar dari konsol dan masuk kembali. Setelah langkah ini, opsi berwarna abu-abu menjadi hidup bagi saya. Saya membayangkan itu sedang di-cache dan logout-login menyegarkannya.

3
Apa?! Sekarang tahun 2020, ini sebenarnya masih perbaikan.
y3sh

3
Ya, saya kehilangan satu jam dalam hidup saya untuk mengetahui bahwa Anda harus keluar dan masuk ...
peter_v

Ini jawaban terbaik. Itu keluar / masuk yang akhirnya memperbaikinya untuk saya setelah mendaftarkan sertifikat ACM saya.
MillerMedia

19

Tunggu beberapa menit dan muat ulang distribution settingshalaman untuk melihat opsi SSL khusus DIAKTIFKAN .

Saya memiliki masalah yang sama, tidak menggunakan AWSakun root saya dan IAMjalurnya disetel dengan benar /cloudfront/.



14

Saya memiliki masalah serupa, dan bekerja lebih lancar bagi saya untuk mengimpor sertifikat ke AWS Certificate Manager.

Jika Anda menggunakan AWS Certificate Manager dengan bucket S3, pastikan Anda mengimpor sertifikat ke wilayah AS Timur (Virginia U.). Saat ini, itu adalah satu-satunya wilayah di ACM yang mendukung S3. Lihat https://docs.aws.amazon.com/acm/latest/userguide/acm-services.html


2
Tepat! Ini adalah solusi untuk masalah ini - Terima kasih Ryan
EdsonF

3
Inilah solusinya! Tautan yang lebih relevan: docs.aws.amazon.com/acm/latest/userguide/acm-regions.html : Untuk menggunakan Sertifikat ACM dengan Amazon CloudFront, Anda harus meminta atau mengimpor sertifikat di wilayah AS Timur (Virginia U.) . Sertifikat ACM di wilayah ini yang terkait dengan distribusi CloudFront didistribusikan ke semua lokasi geografis yang dikonfigurasi untuk distribusi tersebut.
illagrenan

12

Kembali ke beranda cloudfront setelah sertifikat diterbitkan dan segarkan halaman. Itu berhasil untuk saya


2
Apa situasi yang memalukan dan siapa yang tahu ini solusinya: D
Ariful Haque


4

Pastikan Anda tidak mengunggah sertifikat menggunakan akun root AWS. Jika Anda menggunakan akun root, sertifikat akan terlihat tetapi Anda tidak dapat memilihnya.

Sebagai gantinya, buat pengguna IAM baru dengan hak yang memadai (saya menggunakan akun dengan kebijakan administratif yang ditetapkan) dan unggah sertifikat menggunakan kredensial tersebut. Sertifikat kemudian harus tersedia.


Ini berfungsi untuk saya, saya membuat sertifikat sebagai pengguna root tetapi pengaturan SSL khusus dinonaktifkan saat mengedit distribusi meskipun saya dapat melihat sertifikat sebagai opsi di menu tarik-turun. Setelah membuat pengguna administrator dan masuk sebagai akun itu, opsi tidak lagi dinonaktifkan.
Simon L. Brazell

3

Jika Anda meminta sertifikat di wilayah lain (bukan us-east-1), setel wilayah Anda ke us-east-1 dan minta sertifikat lagi. Saya hanya meminta nama domain yang sama di ap-east-2 dan langsung berfungsi.


1

Gunakan ini:

{
"Effect": "Allow",
"Action": [
    "iam:DeleteServerCertificate",
    "iam:UploadServerCertificate",
    "iam:ListServerCertificates",
    "iam:GetServerCertificate"
],
    "Resource": "*"
}

1
Hai @ d.balu, bisakah Anda memberikan penjelasan lebih lanjut untuk jawaban Anda?
toti08

1

Dalam kasus saya itu tidak meminta ACM di wilayah N.Virginia, setelah status ACM berubah menjadi hijau, saya harus keluar dan masuk agar tombol dapat mengaktifkan.


0

Saya melihat sudah ada banyak jawaban bagus, dan salah satunya mungkin menjadi alasan Custon SSL Certificatebagian Anda dinonaktifkan. Saya pikir saya baru saja menemukan yang lain dan inilah kasus saya:

Untuk banyak "layanan terintegrasi", yang mencakup CloudFront, hanya beberapa algoritme dan ukuran kunci yang didukung. Saya mencoba menggunakan sertifikat RSA 4096-bit saya, dan kunci dengan panjang yang memadai.

Saat ini, untuk penggunaan dengan "layanan terintegrasi", AWS hanya menerima panjang kunci 1024 atau 2048 bit.

Disebutkan di sini: https://docs.aws.amazon.com/acm/latest/userguide/import-certificate-prerequisites.html


0

Jika sertifikat tidak muncul di daftar tarik-turun, Anda dapat menyalin dan menempelkan ARN lengkap untuk sertifikat tersebut. ARN ditemukan di Manajer Sertifikat dengan memilih sertifikat yang ingin Anda gunakan.


0

Akun root AWS tidak dapat memilih sertifikat kustom di CloudFront.

Harap buat pengguna IAM baru dengan kebijakan di bawah ini dan buat distribusi CloudFront dengan pengguna tersebut dan Anda dapat memilih sertifikat SSL kustom.

{
  "Version": "2012-10-17",
  "Statement": [{
    "Effect": "Allow",
    "Action": ["*"],
    "Resource": ["*"]
  }]
}
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.