您如何配置 AWS Cloudfront 以使用 SSL？答案

【问题标题】：How do you configure AWS cloudfront to use SSL?您如何配置 AWS Cloudfront 以使用 SSL？
【发布时间】：2018-05-07 18:42:17
【问题描述】：

我们正在使用 Cloudfront 来提供具有自定义域的图像。

http://images.example.com/fubar.png

我们希望能够通过 SSL 访问它们，例如 https://images.example.com/fubar.png

我们有一个*.example.com 的通配符 SSL 证书（由 Godaddy 颁发），我使用 AWS 证书管理器 上传证书、私钥和钥匙串。上传似乎已成功，因为 *.example.com 似乎已颁发（根据证书管理员）。

如何将此通配符 SSL“应用”到 images.example.com？如果我访问 CloudFront Distributions 并编辑常规设置以选择 自定义 SSL 证书，我可以看到我的 *.example.com 通配符 SSL。但是当我尝试点击 Yes, Edit 按钮时，我收到以下错误消息：

com.amazonaws.services.cloudfront.model.InvalidViewerCertificateException：指定的 SSL 证书不存在、不在 us-east-1 区域、无效或不包含有效的证书链。（服务：AmazonCloudFront；状态代码：400；错误代码：InvalidViewerCertificate；请求 ID：ffffffff-ffff-ffff-ffff-ffffffffffff）

我需要采取哪些步骤才能将此 Wldcard SSL 证书应用到具有自定义 DNS 名称的云端映像？

【问题讨论】：

我认为您可以在 AWS Certificate Manager 中生成 SSL 证书。不使用 AWS 证书有什么具体原因吗？

标签： amazon-web-services amazon-cloudfront

【解决方案1】：

不能肯定地说，但通常有这样的问题，你的证书链是不正确的。您需要查看证书颁发机构关于创建链的说明（例如，它需要哪些中间证书）。

【讨论】：

有没有办法从另一个成功使用 SSL 证书的服务器获取证书链？
我现在遇到另一个错误，但我认为我已正确上传证书链
嘿@WhiskerBiscuit。你最后解决了吗？

【解决方案2】：

我遇到了同样的错误，最后发现是the maximum size of the public key in an SSL/TLS certificate 问题。 AWS CloudFront 仅支持 2048 位，但 Certificate Manager 允许您导入 4096 位密钥。

请参考： https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/cnames-and-https-size-of-public-key.html

尤其是这个：一步一步
https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/cnames-and-https-requirements.html#https-requirements-certificate-format

【讨论】：