Get Hands-on with Amazon EKS - Workshop Event Series

Whether you're taking your first steps with Kubernetes or you're an experienced practitioner looking to sharpen your skills, our Amazon EKS workshop series delivers practical, real-world experience that moves you forward. Learn directly from AWS solutions architects and EKS specialists through hands-on sessions designed to build your confidence with Kubernetes. Register now and start building with Amazon EKS!

¿Cómo uso ACM para solucionar los errores de nombre de dominio «InvalidViewerCertificate» de la distribución de CloudFront?

5 minutos de lectura

Quiero usar AWS Certificate Manager (ACM) para solucionar los errores «InvalidViewerCertificate» que recibo al crear o actualizar mi distribución de Amazon CloudFront.

Resolución

Confirmar que el certificado cumple con todos los requisitos

Si recibes el siguiente mensaje de error:

»The specified SSL certificate doesn't exist, isn't in us-east-1 region, isn't valid, or doesn't include a valid certificate chain».

Para solucionar este problema, toma las siguientes medidas:

Asegúrate de que el certificado SSL cumple los requisitos previos para importar a ACM y los requisitos para usar certificados SSL/TLS con CloudFront.
Nota: Se recomienda solicitar un certificado público a ACM.
Consulta tu política de AWS Key Management Service (AWS KMS) para ver una instrucción de denegación explícita. Elimina las denegaciones explícitas de las acciones kms:DescribeKey, kms:CreateGrant o kms:*. Además, concede permiso a CloudFront para realizar las acciones.

Además, utiliza las siguientes configuraciones para el certificado:

Importa el certificado en la región este de EE. UU. (norte de Virginia).
Usa una clave de certificado de 4096 bits o menos.
No protejas la contraseña.
Codifica el certificado con PEM.

Uso de un certificado que incluya el CNAME

Si recibes el siguiente mensaje de error:

«To add an alternate domain name (CNAME) to a CloudFront distribution, you must attach a trusted certificate that validates your authorization to use the domain name».

Este error se produce cuando el nombre alternativo del sujeto (SAN) del certificado no incluye el CNAME que especificaste en la distribución de CloudFront.

Para resolver este problema, solicita un certificado público. También puedes ponerte en contacto con tu autoridad de certificación (CA) para obtener un certificado actualizado que incluya los CNAME en la distribución.

Uso de cinco o menos certificados

Si recibes el siguiente mensaje de error:

«The certificate that is attached to your distribution has too many certificates in the certificate chain».

Este error se produce cuando se supera el número máximo de cinco certificados en la cadena. Para resolver este problema, utiliza una nueva cadena de certificados con cinco o menos certificados.

Si tu CA actual no admite cinco o menos certificados, solicita un certificado público.

Obtención de una cadena de certificados actualizada

Es posible que recibas uno de los siguientes mensajes de error:

«The certificate that is attached to your distribution has one or more expired certificates in the certificate chain. Make sure that each certificate in the chain is valid for the current date by reviewing the Not Valid After field».

Alternativa:

«The certificate that is attached to your distribution has one or more certificates in the certificate chain that aren't valid yet. Make sure that each certificate in the chain is valid for the current date by reviewing the Not Valid Before field».

Si tu certificado ha vencido, debes obtener una cadena de certificados actualizada de tu CA.

Sigue estos pasos:

Descarga los archivos de cadena correctos de tu CA.
Vuelve a importar el certificado y la cadena a ACM o AWS Identity and Access Management (IAM).
Vuelve a intentar la solicitud para crear o actualizar la distribución de CloudFront.

Si tu certificado aún no es válido, no puedes importarlo. Marca el campo del certificado «No válido antes» y, a continuación, vuelve a intentar la solicitud.

Si no puedes volver a intentar la solicitud, solicita un certificado público.

Uso de una CA de confianza

Si recibes el siguiente mensaje de error:

»The certificate that is attached to your distribution was not issued by a trusted Certificate Authority».

Para resolver este problema, obtén un certificado de una CA de confianza para CloudFront que te permita usar un registro CNAME. Si tu CA actual no admite este escenario, solicita un certificado público.

Nota: Puedes usar un certificado autofirmado para validar solo un registro CNAME existente, pero no un registro CNAME nuevo.

Comprobación del formato en el campo SAN

Si recibes el siguiente mensaje de error:

«The certificate that is attached to your distribution has a value in the SAN field that is not correctly formatted».

CloudFront requiere que cada entrada sea un nombre DNS que contenga un nombre de dominio completo (FQDN) o una dirección IP. Las entradas con comodín son válidas, pero no puedes agregar un CNAME que esté en un nivel superior o inferior al del comodín.

Si tu CA actual no admite este escenario, solicita un certificado público.

Adición del CNAME a las llamadas a la API

Si recibes el siguiente mensaje de error:

«The certificate that you specified doesn't cover the alternate domain name (CNAME) that you're trying to add».

Este error se produce cuando el CNAME que estás intentando asociar a tu distribución no está incluido en el SAN del certificado. Para resolver este problema, debes proporcionar el CNAME en las llamadas a la API CreateDistribution o UpdateDistribution.

Volver a intentar las llamadas a la API

Si recibes el siguiente mensaje de error:

«CloudFront encountered an internal error. Please try again».

Si recibes el mensaje de error anterior al realizar las llamadas a la API CreateDistribution o UpdateDistribution, vuelve a intentarlo. Si el problema continúa durante un periodo prolongado, consulta el panel de AWS Health para ver si hay problemas relacionados.

Información relacionada

¿Por qué no puedo elegir un certificado SSL/TLS personalizado para mi distribución de CloudFront?

Temas: Networking & Content Delivery
Etiquetas: Amazon CloudFront
Idioma: Español

OFICIAL DE AWSActualizada hace 5 meses

Sin comentarios

Contenido relevante

Problemas con webs alojadas y certificados SSL
Javier
preguntada hace 5 meses
Validación del uso de CloudFront en un entorno multi-tenant con behaviors + Lambda@Edge y recomendaciones para obtener un comportamiento predecible.
F_Ruben
preguntada hace 3 meses
Problema de cors en cloudfront
Jorge
preguntada hace 10 meses
Como solucionar el error: Supplied Policy document is breaching Cloudwatch Logs policy length limit.
Respuesta aceptada
Enrique
preguntada hace un año
Problema para conectar dominio externo con aplicación en AWS Amplify
KIMSA
preguntada hace 8 meses
¿Cómo puedo solucionar problemas con el uso de un certificado SSL personalizado para mi distribución de CloudFront?
OFICIAL DE AWSActualizada hace un año
¿Puedo asociar varios certificados SSL/TLS a mi distribución de CloudFront?
OFICIAL DE AWSActualizada hace 8 meses
¿Por qué no puedo elegir un certificado SSL/TLS personalizado para mi distribución de CloudFront?
OFICIAL DE AWSActualizada hace 8 meses
¿Cómo soluciono el error 502 «The request could not be satisfied» en CloudFront?
OFICIAL DE AWSActualizada hace 8 meses