Quiero solucionar problemas relacionados con un certificado SSL personalizado en AWS Certificate Manager (ACM) o AWS Identity and Access Management (IAM) para mi distribución de Amazon CloudFront.
Descripción corta
Los siguientes son los problemas más comunes relacionados con el uso de un certificado SSL personalizado en tu distribución de CloudFront:
- Cuando configuras la distribución, no tienes la opción de elegir tu certificado SSL personalizado.
- No puedes elegir el certificado SSL aunque sí puedas usar el mismo certificado con tu equilibrador de carga.
Resolución
Nota: Si se muestran errores al poner en marcha comandos de Interfaz de la línea de comandos de AWS (AWS CLI), consulta Solución de errores de la AWS CLI. Además, asegúrate de usar la versión más reciente de la AWS CLI.
Para solucionar problemas con un certificado SSL personalizado para tu distribución de CloudFront, comprueba lo siguiente:
Si usas un certificado solicitado o importado a ACM, confirma que tu certificado cumple con los requisitos
Si usas un certificado importado a IAM, verifica la ruta de CloudFront
Cuando importes tu certificado SSL a IAM, proporciona la ruta correcta para que CloudFront pueda usar el certificado. Ejecuta el siguiente comando de la CLI de AWS para cargar el certificado con una ruta de CloudFront especificada:
**Nota:**Antes de ejecutar este comando, asegúrate de reemplazar todos los valores por los detalles de tu certificado y distribución de CloudFront.
aws iam upload-server-certificate --server-certificate-name CertificateName--certificate-body file://public_key_certificate_file --private-key file://privatekey.pem
--certificate-chain file://certificate_chain_file --path /cloudfront/DistributionName/
Si no cargaste el certificado con la ruta de CloudFront, ejecuta este comando para actualizar el certificado con la ruta:
aws iam update-server-certificate --server-certificate-name CertificateName --new-path /cloudfront/DistributionName/
**Nota:**Después de agregar un certificado a una distribución de CloudFront, el estado de la distribución cambia de Implementada a En curso. El estado de la distribución vuelve a cambiar a Implementada cuando el cambio se implementa en todas las ubicaciones periféricas de CloudFront. El tiempo de implementación típico es de 5 minutos.
Confirma que tienes los permisos necesarios al asignar un certificado de ACM o IAM a la distribución de CloudFront
El usuario o rol de IAM que uses para asignar el certificado debe tener los siguientes permisos:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "acm:ListCertificates",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"cloudfront:ListDistributions",
"cloudfront:ListStreamingDistributions"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"cloudfront:List*",
"cloudfront:Get*",
"cloudfront:Update*"
],
"Resource": "arn:aws:cloudfront::account-id:distribution/distribution-id"
},
{
"Effect": "Allow",
"Action": "iam:ListServerCertificates",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:GetServerCertificate",
"iam:UpdateServerCertificate"
],
"Resource": "arn:aws:iam::account-id:server-certificate/certificate-name-with-path"
}
]
}
Información relacionada
¿Cómo uso ACM para solucionar el error de nombre de dominio «InvalidViewerCertificate» de la distribución de CloudFront?
Requisitos para usar certificados SSL/TLS con CloudFront