Comment résoudre l'exception d'erreur « InvalidViewerCertificate » lors de la création ou de la mise à jour d'une distribution CloudFront ?

Lecture de 6 minute(s)

Lors de la création ou de la mise à jour d'une distribution Amazon CloudFront, je reçois l'exception d'erreur « InvalidViewerCertificate ». Comment résoudre ce problème ?

Solution

Suivez les étapes de résolution pour le message d’erreur reçu :

« Le certificat SSL spécifié n'existe pas, n'est pas dans la région us-east-1, n'est pas valide ou n'inclut pas de chaîne de certificats valide. »

Ce message d'erreur indique que le certificat ne répond pas à une ou plusieurs des exigences suivantes pour l’importation dans AWS Certificate Manager (ACM), ou l’association à une distribution :

Le certificat doit être importé dans la région USA Est (Virginie du Nord).
Le certificat doit être de 2 048 bits maximum.
Le certificat ne doit pas être protégé par un mot de passe.
Le certificat doit être codé au format PEM.

Pour associer le certificat importé et la chaîne de certificats dans votre distribution CloudFront, vous devez être sûr qu'ils répondent à ces exigences. Sinon, vous pouvez demander un certificat fourni par ACM dans la région USA Est (Virginie du Nord) afin de répondre aux exigences. Ensuite, vous pouvez associer le certificat nouvellement demandé à votre distribution.

« Pour ajouter un nom de domaine alternatif (CNAME) à une distribution CloudFront, vous devez joindre un certificat de confiance qui valide votre autorisation d'utiliser le nom de domaine. »

Ce message d'erreur indique que les noms de domaine alternatifs (CNAME) de la distribution ne sont pas couverts par le SAN (Subject Alternative Name) du certificat que vous avez fourni. Vous pouvez demander un certificat public avec ACM ou vous pouvez contacter votre Autorité de certification (AC) pour obtenir un certificat qui couvre les noms de domaines alternatifs pour la distribution.

« Il y a trop de certificats dans la chaîne de certificats du certificat joint à votre distribution. »

Ce message d'erreur indique que le nombre de certificats dans la chaîne dépasse la valeur maximale de cinq. Vous avez besoin d'une nouvelle chaîne de certificats ne comptant pas plus de cinq certificats. Si votre Autorité de certification (AC) actuelle ne prend pas cela en charge, vous pouvez utiliser ACM pour émettre un certificat valide.

« Il y a un ou plusieurs certificats expirés dans la chaîne de certificats du certificat joint à votre distribution. Assurez-vous que chaque certificat de la chaîne est valide pour la date actuelle en consultant le champ Not Valid After (Non valide après). »

Ce message d'erreur indique qu'une ou plusieurs des chaînes de certificats ont expiré dans le certificat que CloudFront tente d'utiliser. Téléchargez les fichiers de la chaîne appropriée depuis votre Autorité de certification (AC) et importez de nouveau votre certificat et vos fichiers de la chaîne vers ACM ou AWS Identity and Access Management (IAM). Puis, tentez de relancer votre demande. Si votre AC ne prend pas cela en charge, vous pouvez utiliser ACM pour émettre un certificat valide gratuit.

« Il y a un ou plusieurs certificats qui ne sont pas encore valides dans la chaîne de certificats du certificat joint à votre distribution. Assurez-vous que chaque certificat de la chaîne est valide à la d'aujourd'hui en consultant le champ Not Valid Before (Non valide avant). »

Ce message d'erreur indique qu'une ou plusieurs des chaînes de certificats ne sont pas encore valides dans le certificat que CloudFront tente d'utiliser. Cela signifie que la date de début du certificat est à venir, c'est pourquoi le certificat n'est pas valide. Téléchargez les fichiers de la chaîne appropriée depuis votre Autorité de certification (AC) et importez de nouveau votre certificat et vos fichiers de la chaîne vers ACM ou IAM. Puis, tentez de relancer votre demande. Si votre AC ne prend pas cela en charge, vous pouvez utiliser ACM pour émettre un certificat valide gratuit.

« Le certificat joint à votre distribution n'a pas été émis par une Autorité de certification approuvée. »

Ce message d'erreur indique que le certificat n'a pas été émis par une Autorité de certification (AC) approuvée. Obtenez un certificat auprès d'une Autorité de certification approuvée pour pouvoir utiliser un nom de domaine alternatif (CNAME). Si votre AC ne prend pas cela en charge, vous pouvez utiliser ACM pour émettre un certificat valide gratuit.

Remarque : les certificats auto-signés ne sont pas pris en charge.

« Le certificat joint à votre distribution a une valeur dans le champ SAN qui n'est pas correctement formatée. »

Ce message d'erreur indique que le SAN (Subject Alternative Name) n'est pas correctement formaté. CloudFront exige que chaque entrée soit un nom DNS contenant un nom de domaine complet ((FQDN) ou nom de domaine complètement qualifié) ou une adresse IP d'un serveur. Les entrées génériques sont valides, mais vous ne pouvez pas ajouter d'autres noms de domaine (CNAME) dont les niveaux sont supérieurs ou inférieurs au caractère générique. Si votre autorité de certification (AC) actuelle ne prend pas cela en charge, vous pouvez utiliser ACM pour émettre un certificat valide.

« Le certificat que vous avez spécifié ne couvre pas le nom de domaine alternatif (CNAME) que vous tentez d'ajouter. »

Ce message d'erreur indique qu'un ou plusieurs des noms de domaine alternatifs (CNAME) que vous voulez associer à votre distribution ne sont pas inclus dans le SAN (Subject Alternative Name) du certificat fourni dans les appels d’API UpdateDistribution ou CreateDistribution. Vérifiez que vous avez fourni le bon certificat dans l'appel d'API.

« CloudFront a rencontré une erreur interne. Veuillez réessayer. »

Ce message d'erreur indique qu'il y a eu un problème interne lors de l'émission de l’appel d’API UpdateDistribution ou CreateDistribution. Une bonne pratique consiste à réessayer d'effectuer l'appel d'API ultérieurement. Si cette erreur persiste pendant une période prolongée, consultez le AWS Service Health Dashboard pour rechercher les problèmes possibles.

« Le certificat SSL spécifié n'existe pas, n'est pas dans la région us-east-1, n'est pas valide ou n'inclut pas de chaîne de certificats valide. »

Ce message d'erreur peut se produire lorsqu'il existe une déclaration de refus explicite pour AWS KMS dans l'évaluation de la stratégie pour un utilisateur ou pour un rôle. L'erreur est plus fréquente si l'une des actions AWS KMS suivantes est explicitement refusée : kms:DescribeKey, kms:CreateGrant ou kms :*.

Ces politiques se trouvent n'importe où dans l'évaluation des stratégies de l'utilisateur ou du rôle. Par exemple, les politiques basées sur l'identité, les politiques de contrôle des services (SCP) ou les limites d'autorisation, pour ne citer que celles-là. Pour en savoir plus, consultez la section Évaluation des politiques au sein d'un seul compte.

Sujets

Réseaux et diffusion de contenu

Balises

Amazon CloudFront

Langue

Français

AWS OFFICIELA mis à jour il y a 2 ans

Aucun commentaire

Contenus pertinents

Impossible d'afficher la page de modification WAF sur une distribution Cloudfront
Réponse acceptée
Adesin
demandé il y a 6 mois
Mise à jour de ApiGateway - Network Failure
KAT34
demandé il y a 9 mois
Échec création de base de données Neptune sur AWS
jjso
demandé il y a 8 mois
problème de placement de sous titres lors de la création de fichier dans MEDIACONVERT
rePost-User-0874367
demandé il y a un an
Création de tables SQL
yannick
demandé il y a 8 mois
Pourquoi l'enregistrement d'alias qui indique que ma distribution CloudFront n'est pas résolu ?
AWS OFFICIELA mis à jour il y a un an
Pourquoi la création ou la mise à jour de mon point de terminaison Amazon SageMaker échoue-t-elle ?
AWS OFFICIELA mis à jour il y a un an
J'ai personnalisé la mise en cache des objets sur ma distribution CloudFront. Pourquoi est-ce que la distribution utilise les paramètres de cache de l'origine ?
AWS OFFICIELA mis à jour il y a 2 ans
Comment lancer la résolution des problèmes de mise à jour des groupes de nœuds gérés pour Amazon EKS ?
AWS OFFICIELA mis à jour il y a un an