Wie kann ich Probleme mit einem benutzerdefinierten SSL-Zertifikat beheben, das für meine CloudFront-Distribution verwendet wird?

Lesedauer: 3 Minute

Ich möchte Fehler bei einem benutzerdefinierten SSL-Zertifikat auf AWS Certificate Manager (ACM, AWS Zertifikats-Manager) oder AWS Identity and Access Management (IAM, Identitäts- und Zugriffsmanagement) für meine Amazon CloudFront-Distribution beheben.

Kurzbeschreibung

Im Folgenden sind die häufigsten Probleme bei einem benutzerdefinierten SSL-Zertifikat aufgeführt, das für die CloudFront-Distribution verwendet wird:

Bei der Einrichtung der Distribution hast du nicht die Möglichkeit, das benutzerdefinierte SSL-Zertifikat auszuwählen.
Du kannst das SSL-Zertifikat nicht auswählen, obwohl du möglicherweise dasselbe Zertifikat mit dem Load Balancer verwenden kannst.

Lösung

Hinweis: Wenn du beim Ausführen von AWS Command Line Interface (AWS CLI)-Befehlen Fehlermeldungen erhältst, findest du weitere Informationen dazu unter Problembehandlung bei der AWS CLI. Stelle außerdem sicher, dass du die neueste Version der AWS CLI verwendest.

Überprüfe Folgendes, um Probleme mit einem benutzerdefinierten SSL-Zertifikat für die CloudFront-Distribution zu beheben:

Wenn du ein von ACM angefordertes oder in ACM importiertes Zertifikat verwendest, vergewissere dich, dass das Zertifikat die Anforderungen erfüllt

Um einer CloudFront-Distribution ein ACM-Zertifikat zuzuweisen, fordere das Zertifikat in der Region USA Ost (Nord-Virginia) an oder importiere es. Wenn du die ACM-Konsole verwendest, überprüfe die Auswahl der Region in der Navigationsleiste. Vergewissere dich, dass USA Ost (Nord-Virginia) ausgewählt ist, bevor du das Zertifikat anforderst oder importierst.

Hinweis: Nachdem du einer CloudFront-Distribution ein ACM-Zertifikat zugewiesen hast, wird das Zertifikat entsprechend der Preisklasse der CloudFront-Distribution an alle Edge-Standorte verteilt.
Nachdem du entweder die DNS-Validierung oder die E-Mail-Validierung verwendet hast, um dein ACM-Zertifikat zu validieren, stelle sicher, dass der Status des Zertifikats Ausgestellt lautet. Der Status muss Ausgestellt lauten, bevor du das Zertifikat einer CloudFront-Distribution zuweisen kannst.
CloudFront unterstützt 1024-Bit-, 2048-Bit-, 3072-Bit- und 4096-Bit-RSA-Schlüssel.
Stelle bei importierten Zertifikaten sicher, dass das Zertifikat die Voraussetzungen für den Import eines Zertifikats erfüllt.

Wenn du ein in IAM importiertes Zertifikat verwendest, überprüfe den CloudFront-Pfad

Wenn du das SSL-Zertifikat in IAM importierst, gib den richtigen Pfad an, damit CloudFront das Zertifikat verwenden kann. Führe den folgenden Befehl der AWS CLI aus, um das Zertifikat mit einem angegebenen CloudFront-Pfad hochzuladen:

Hinweis: Bevor du diesen Befehl ausführst, stelle sicher, dass du alle Werte durch die Details für dein Zertifikat und deine CloudFront-Distribution ersetzt.

aws iam upload-server-certificate --server-certificate-name CertificateName--certificate-body file://public_key_certificate_file --private-key file://privatekey.pem
--certificate-chain file://certificate_chain_file --path /cloudfront/DistributionName/

Wenn du das Zertifikat nicht mit dem CloudFront-Pfad hochgeladen hast, führe diesen Befehl aus, um das Zertifikat mit dem Pfad zu aktualisieren:

aws iam update-server-certificate --server-certificate-name CertificateName --new-path /cloudfront/DistributionName/

Hinweis: Nachdem du zu einer CloudFront-Distribution ein Zertifikat hinzugefügt hast, ändert sich der Status der Distribution von Deployed (Bereitgestellt) in In Bearbeitung. Der Status der Distribution wechselt wieder zu Deployed (Bereitgestellt), wenn die Änderung an allen CloudFront-Edge-Standorten bereitgestellt wird. Die typische Bereitstellungszeit beträgt 5 Minuten.

Vergewissere dich, dass du über die erforderlichen Berechtigungen verfügst, wenn du der CloudFront-Distribution ein Zertifikat von ACM oder IAM zuweist

Der IAM-Benutzer oder die IAM-Rolle, die du für die Zuweisung des Zertifikats verwendest, muss über die folgenden Berechtigungen verfügen:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "acm:ListCertificates",
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "cloudfront:ListDistributions",
        "cloudfront:ListStreamingDistributions"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "cloudfront:List*",
        "cloudfront:Get*",
        "cloudfront:Update*"
      ],
      "Resource": "arn:aws:cloudfront::account-id:distribution/distribution-id"
    },
    {
      "Effect": "Allow",
      "Action": "iam:ListServerCertificates",
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "iam:GetServerCertificate",
        "iam:UpdateServerCertificate"
      ],
      "Resource": "arn:aws:iam::account-id:server-certificate/certificate-name-with-path"
    }
  ]
}

Ähnliche Informationen

Wie verwende ich ACM, um den Domain-Namenfehler „InvalidViewerCertificate“ der CloudFront-Distribution zu beheben?

Anforderungen für die Verwendung von SSL/TLS-Zertifikaten mit CloudFront

Themen: Networking & Content Delivery
Tags: Amazon CloudFront
Sprache: Deutsch

Relevanter Inhalt

Warum verwendet meine CloudFront-Distribution die Cache-Einstellungen meines Ursprungs, wenn ich das benutzerdefinierte Objekt-Caching einrichte?
AWS OFFICIALAktualisiert vor 5 Monaten
Wie behebe ich Probleme im Zusammenhang mit EC2-Ursprüngen in CloudFront?
AWS OFFICIALAktualisiert vor 3 Jahren
Wie behebe ich Probleme beim Komprimieren von Dateien in CloudFront?
AWS OFFICIALAktualisiert vor 3 Jahren
Warum kann ich kein benutzerdefiniertes SSL/TLS-Zertifikat für meine CloudFront-Distribution auswählen?
AWS OFFICIALAktualisiert vor 5 Monaten