Impossibile selezionare il certificato SSL personalizzato (archiviato in AWS IAM)

98

Creerò una nuova distribuzione su CloudFront . Ho già caricato il mio certificato SSL su AWS IAM utilizzando AWS CLI. Il certificato viene visualizzato nell'elenco a discesa Certificato SSL personalizzato nella nuova pagina di distribuzione ma è DISABILITATO .

Qualcuno può dirmi perché è così? Come selezionare il mio certificato SSL personalizzato per questa distribuzione?

ssl  amazon-web-services  amazon-cloudfront  amazon-iam  aws-cli 
theGeekster
fonte
hai caricato il certificato utilizzando l'account di root?
mohamnag

Risposte:

124

AWS ha impiegato un'intera giornata per propagare il nuovo certificato a tutti i suoi nodi. Il giorno successivo, quando ho effettuato l'accesso alla mia console AWS, il certificato è apparso nell'elenco a discesa ed è stato anch'esso abilitato e ho potuto configurare correttamente la distribuzione.

Inoltre, assicurati di selezionare us-east-1(N. Virginia) quando effettui la richiesta di certificato; è l'unica regione che lo supporta in questo momento (anche se il tuo bucket / asset si trova in un'altra regione)

theGeekster
fonte
3
Sto
12
Rifare il certificato in N. Virginia ha risolto il mio problema. È strano certificato che in realtà ha uno stato di problema diverso in diverse regioni ... lol
Neekey
3
Quando si crea una nuova distribuzione CloudFront, Amazon afferma in particolare "Puoi utilizzare un certificato archiviato in AWS Certificate Manager (ACM) nella regione Stati Uniti orientali (Virginia settentrionale) oppure puoi utilizzare un certificato archiviato in IAM".
Shea
6
Secondo docs.aws.amazon.com/acm/latest/userguide/acm-services.html e aws.amazon.com/certificate-manager/faqs , "per utilizzare un certificato ACM con CloudFront, devi richiedere o importare il certificato nella regione degli Stati Uniti orientali (Virginia settentrionale) ".
Big Pumpkin
ho creato un certificato utilizzando la regione Virginia settentrionale in ACM e la convalida DNS. Funzionava in 10 minuti.
Deepan Prabhu Babu,
39

Solo i certificati registrati in AWS Certificate Manager (ACM) nella regione Stati Uniti orientali (Virginia settentrionale) saranno abilitati per l'uso in CloudFront

Reinaldo Almeida
fonte
3
Bello che sia stato documentato da qualche parte: D
Baconbeastnz
28

  • Importa il certificato in IAM o creane uno tramite ACM in us-east-1 come menzionato negli altri commenti.

  • Attendi che la convalida sia completa, ovvero non arancione.

  • Carica la pagina di modifica dell'impostazione della distribuzione cloudfront.
  • Se l'opzione SSL personalizzato è disattivata, disconnettersi dalla console e accedere di nuovo. Dopo questo passaggio, l'opzione disattivata è diventata attiva per me. Immagino che venga in qualche modo memorizzato nella cache e il logout-login lo aggiorni.
neo01124
fonte
3
Che cosa?! È il 2020 ora, questa è ancora la soluzione.
y3sh
3
Sì, ho perso un'ora della mia vita per capire che devi disconnetterti e accedere ...
peter_v
Questa è la migliore risposta. È stato il logout / log in che alla fine ha risolto il problema dopo aver registrato il mio certificato ACM.
MillerMedia
19

Attendi qualche minuto e ricarica la distribution settingspagina per visualizzare l'opzione SSL personalizzata ABILITATA .

Ho avuto lo stesso problema, non ho usato il mio AWSaccount di root e il IAMpercorso era impostato correttamente su /cloudfront/.

Jonathan Maim
fonte
14

Ho riscontrato problemi simili e ha funzionato più agevolmente per me importare il certificato in AWS Certificate Manager.

Se utilizzi AWS Certificate Manager con un bucket S3, assicurati di importare il certificato nella regione Stati Uniti orientali (Virginia settentrionale). Ad oggi, questa è l'unica regione in ACM che supporta S3. Vedi https://docs.aws.amazon.com/acm/latest/userguide/acm-services.html

Ryan Walls
fonte
2
Spot on! Questa è la soluzione a questo problema - Grazie Ryan
EdsonF
3
Questa è la soluzione! Link più pertinente: docs.aws.amazon.com/acm/latest/userguide/acm-regions.html : per utilizzare un certificato ACM con Amazon CloudFront, è necessario richiedere o importare il certificato nella regione Stati Uniti orientali (Virginia settentrionale) . I certificati ACM in questa regione associati a una distribuzione CloudFront vengono distribuiti a tutte le località geografiche configurate per quella distribuzione.
illagrenan
11

Torna alla home page di cloudfront dopo l'emissione del certificato e aggiorna la pagina. Ha funzionato per me

MrAAAAaaaahhhhHHHHHH
fonte
2
Whan una situazione imbarazzante e chi saprebbe che questa è la soluzione: D
Ariful Haque
4

Assicurati di non caricare il certificato utilizzando un account root AWS. Se utilizzi un account root, il certificato sarà visibile ma non sarai in grado di selezionarlo.

Invece, crea un nuovo utente IAM con diritti adeguati (ho utilizzato un account con una policy amministrativa assegnata) e carica il certificato utilizzando quelle credenziali. Il certificato dovrebbe quindi essere disponibile.

Kristopher Cargile
fonte
Questo ha funzionato per me, ho creato il certificato come utente root ma l'impostazione SSL personalizzata è stata disabilitata durante la modifica della distribuzione anche se potevo vedere il certificato come un'opzione nel menu a discesa. Dopo aver creato un utente amministratore e aver effettuato l'accesso come tale account, l'opzione non era più disabilitata.
Simon L. Brazell
3

Se stai richiedendo un certificato in un'altra regione (non us-east-1), imposta la tua regione su us-east-1 e richiedi di nuovo un certificato. Chiedo solo lo stesso nome di dominio in ap-nordest-2 e funziona immediatamente.

user1035957
fonte
1

Usa questo:

{
"Effect": "Allow",
"Action": [
    "iam:DeleteServerCertificate",
    "iam:UploadServerCertificate",
    "iam:ListServerCertificates",
    "iam:GetServerCertificate"
],
    "Resource": "*"
}
d.balu
fonte
1
Ciao @ d.balu, potresti fornire qualche spiegazione in più alla tua risposta?
toti08
0

Vedo che ci sono già molte buone risposte e ognuna di esse potrebbe essere la ragione per cui la tua Custon SSL Certificatesezione è disabilitata. Penso di averne appena trovato un altro e questo è stato il mio caso:

Per molti "servizi integrati", che include CloudFront, sono supportati solo pochi algoritmi e dimensioni delle chiavi. Stavo cercando di utilizzare il mio certificato RSA a 4096 bit e una chiave di lunghezza adeguata.

A partire da ora per l'utilizzo con i "servizi integrati" AWS accetta solo lunghezze di chiave di 1024 o 2048 bit.

Menzionato qui: https://docs.aws.amazon.com/acm/latest/userguide/import-certificate-prerequisites.html

wiktus239
fonte
0

Se il certificato non viene visualizzato nell'elenco a discesa, è possibile copiare e incollare l'ARN completo del certificato. L'ARN si trova in Gestione certificati selezionando il certificato che si desidera utilizzare.

user2531882
fonte
0

L'account root AWS non può selezionare un certificato personalizzato in CloudFront.

Crea un nuovo utente IAM con la policy seguente e crea la distribuzione CloudFront con quell'utente e potrai selezionare un certificato SSL personalizzato.

{
  "Version": "2012-10-17",
  "Statement": [{
    "Effect": "Allow",
    "Action": ["*"],
    "Resource": ["*"]
  }]
}
Subhash
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.