无法选择自定义SSL证书(存储在AWS IAM中)

98

我将在CloudFront上创建一个新发行版。我已经使用AWS CLI在AWS IAM上上传了SSL证书。该证书显示在新分发页面的“自定义SSL证书”下拉列表中,但已禁用

有人可以告诉我为什么吗?如何选择此分发的自定义SSL证书?

ssl  amazon-web-services  amazon-cloudfront  amazon-iam  aws-cli 
怪胎
source
您是否使用根帐户上传证书?
mohamnag

Answers:

124

AWS花了整整一天的时间将新证书传播到其所有节点。第二天,当我登录到我的AWS控制台时,该证书显示在下拉列表中,并且也已启用,并且我可以成功配置分发。

另外,请确保us-east-1在提出证书申请时选择(弗吉尼亚北部);这是目前唯一支持它的区域(即使您的存储桶/资产位于另一个区域)

怪胎
source
3
不幸的是,它正在等待3天
Elsurudo
12
重做N. Virginia的证书解决了我的问题。奇怪的证书实际上在不同地区具有不同的发行状态...大声笑
Neekey
3
在创建新的CloudFront发行版时,Amazon特别声明“您可以使用存储在美国东部(弗吉尼亚北部)地区的AWS Certificate Manager(ACM)中的证书,也可以使用存储在IAM中的证书”。
牛油
6
根据docs.aws.amazon.com/acm/latest/userguide/acm-services.htmlaws.amazon.com/certificate-manager/faqs的说法,“要在CloudFront中使用ACM证书,您必须请求或导入美国东部(弗吉尼亚北部)地区的证书”。
大南瓜'18
我使用ACM中的N.Virginia地区和DNS验证创建了证书。它在10分钟内即可正常工作。
Deepan Prabhu Babu
27

  • 如其他注释中所述,将证书导入IAM或通过us-east-1中的ACM创建一个证书。

  • 等待验证完成,即不是橙色。

  • 加载cloudfront分发设置编辑页面。
  • 如果“自定义SSL”选项为灰色,请退出控制台,然后重新登录。此步骤之后,“灰色”选项对我来说仍然有效。我想象它以某种方式被缓存并且注销登录刷新它。
neo01124
source
2
什么?!现在是2020年,这实际上仍然是解决方法。
y3sh
3
是的,我花了一个小时才弄清楚您需要注销并登录...
peter_v
这是最好的答案。注册我的ACM证书后,注销/登录最终为我解决了这个问题。
MillerMedia
19

只需等待几分钟,然后重新加载distribution settings页面即可查看自定义SSL选项ENABLED

我遇到了同样的问题,没有使用我的AWSroot帐户,并且IAM路径正确设置为/cloudfront/

乔纳森·迈姆
source
14

我遇到了类似的问题,并且将证书导入到AWS Certificate Manager中对我来说更加顺利。

如果您将AWS Certificate Manager用于S3存储桶,请确保将证书导入到美国东部(弗吉尼亚北部)区域。到目前为止,这是ACM中唯一支持S3的区域。参见https://docs.aws.amazon.com/acm/latest/userguide/acm-services.html

瑞恩·沃尔斯
source
2
发现!这是解决此问题的方法-谢谢Ryan
EdsonF,2013年
3
这是解决方案!更相关的链接:docs.aws.amazon.com/acm/latest/userguide/acm-regions.html要在Amazon CloudFront中使用ACM证书,您必须在美国东部(弗吉尼亚
illagrenan
4

确保您没有使用AWS根账户上传证书。如果您使用根帐户,则证书将可见,但您将无法选择它。

而是创建一个具有足够权限的新IAM用户(我使用分配了管理策略的帐户),然后使用这些凭据上载证书。然后该证书将可用。

克里斯托弗·卡吉尔
source
这对我有用,我以root用户身份创建了证书,但是即使在下拉菜单中可以看到证书,也可以在编辑发行版时禁用自定义SSL设置。创建管理员用户并以该帐户身份登录后,该选项不再被禁用。
西蒙·布拉泽尔
3

如果您要在另一个区域(不是us-east-1)中请求证书,请将您的区域设置为us-east-1并再次请求证书。我只要求在ap-northeast-2中使用相同的域名,即可立即使用。

用户名
source
1

用这个:

{
"Effect": "Allow",
"Action": [
    "iam:DeleteServerCertificate",
    "iam:UploadServerCertificate",
    "iam:ListServerCertificates",
    "iam:GetServerCertificate"
],
    "Resource": "*"
}
巴鲁
source
1
@ d.balu,您好,能否请您为您的答案提供更多解释?
toti08
0

我看到已经有很多好的答案,而其中任何一个都可能是您 Custon SSL Certificate部分被禁用。我想我刚刚找到了另一个,对我来说就是这样:

对于包括CloudFront在内的许多“集成服务”,仅支持很少的算法和密钥大小。我试图使用RSA 4096位证书和足够长的密钥。

到目前为止,与“集成服务”一起使用时,AWS仅接受1024或2048位的密钥长度。

此处提及:https : //docs.aws.amazon.com/acm/latest/userguide/import-certificate-prerequisites.html

wiktus239
source
0

如果下拉列表中未显示证书,则可以复制并粘贴证书的完整ARN。通过选择要使用的证书,在证书管理器中找到ARN。

用户名
source
0

AWS根帐户无法在CloudFront中选择自定义证书。

请使用以下策略创建一个新的IAM用户,并使用该用户创建CloudFront分发,您便可以选择自定义SSL证书。

{
  "Version": "2012-10-17",
  "Statement": [{
    "Effect": "Allow",
    "Action": ["*"],
    "Resource": ["*"]
  }]
}
苏哈什
source
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.