将 SSL 证书与 Amazon Cloudfront 关联时遇到问题答案

【问题标题】：Having trouble associated SSL cert with Amazon Cloudfront将 SSL 证书与 Amazon Cloudfront 关联时遇到问题
【发布时间】：2013-07-08 23:13:45
【问题描述】：

我正在尝试将自定义 SSL 证书与 Cloudfront 相关联。我使用证书、私钥和链将其上传到 IAM。我给了它/cloudfront的上传路径。

我还请求并获得了 AWS 的许可，可以在 Cloudfront 中使用自定义 SSL。

但是，当我在云端控制台中并尝试关联证书时，按“是，编辑”按钮时出现以下错误。

“指定的查看器证书不存在或无效。” （查看附图）

我从 DNSimple 购买了通配符证书，并按照这些说明进行操作 (https://devcenter.heroku.com/articles/ssl-certificate-dnsimple)

你知道如何前进吗？我可能错误地制作了我的证书，但我不知道如何调试它。我是否有可能正确地制作了我的证书，而我的 aws 帐户或 Cloudfront 配置有问题？

谢谢！

【问题讨论】：

获得帮助的最佳方式是在 AWS CloudFront 支持论坛 - forums.aws.amazon.com/forum.jspa?forumID=46 中发布此问题，该论坛由亚马逊支持人员积极监控。
您找到解决方案了吗？
我也想弄清楚这一点。我看到您仍在与 AWS 交互。你解决了吗？
关于此事的任何更新？

标签： ssl https amazon-web-services ssl-certificate amazon-cloudfront

【解决方案1】：

所以我发现了问题！

DNSimple 默认为您提供 2432 位密钥，大于 Amazon 允许的最大 2048 位大小。如果要测试密钥和证书的大小，请运行以下命令：

私钥：

openssl rsa -in private.key -text -noout

示例：私钥：（2048 位）

证书：

openssl x509 -in public.cert -text -noout

示例输出：公钥：（2048 位）

每个命令的输出会告诉你它是多少位。如果您从 DNSimple 购买了 SSL 证书，您可以向他们发送消息，他们可以使用不同大小重新授权您的证书/密钥。

完成此操作后，将您的证书与您的 Cloudfront 发行版相关联应该可以工作。

【讨论】：

感谢您的提示，但我的已经是 2048 位了。您最初是如何将其上传到 AWS 的？我在尝试将其上传到 IAM 时遇到了地狱般的时光 ...getting A client error (MalformedCertificate) occurred when calling the UploadServerCertificate operation: Unable to parse certificate. Please ensure the certificate is in PEM format.
Neal，我想出了这个问题，请确保您在所有文件名前确实包含 file://
FML。我有一个 4096 位 SSL 密钥。
对于那些想知道的人，我发现这里记录的限制：docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/…

【解决方案2】：

也出现了这个错误，并且花费了比我想的更多的时间试图找出它失败的原因（密钥大小超过 2048、证书链等）。

我在通过 Terraform 创建分发时尝试使用 IAM 证书（指定 iam_certificate_id）。在查看了用于创建分配的 AWS Web 界面后，没有输入 IAM 证书 ID 的选项，而且它似乎只允许 ACM 证书。现在是否已放弃对 IAM 证书的支持（在 AWS 控制台上似乎不可用）？

当使用 ACM 证书而不是 IAM 证书时，它对我来说很好。

【讨论】：

您有没有发现 IAM 证书是否不再可能？
没有任何结论......仍在假设如果它不在 GUI 中，则必须放弃对 IAM 证书的支持。从那以后我一直在使用 ACM 证书。
对我们来说，问题是为了让 CloudFront 使用 IAM 证书，它必须使用以“/cloudfront/”开头的路径来存储aws.amazon.com/premiumsupport/knowledge-center/… 不确定这是否是您在 Terraform 中的问题，但可能值得一试。我们不允许使用 ACM 证书，所以这不是我们的选择。