Comment résoudre les erreurs de nom de domaine « InvalidViewerCertificate » de la distribution CloudFront à l’aide d’ACM ?

Résolution

Vérifier que votre certificat répond à toutes les exigences

Le message d’erreur suivant s’affiche :

« The specified SSL certificate doesn't exist, isn't in us-east-1 region, isn't valid, or doesn't include a valid certificate chain. »

Pour résoudre ce problème, procédez comme suit :

• Assurez-vous que le certificat SSL répond aux prérequis relatifs à l’importation dans ACM et aux prérequis relatifs à l'utilisation de certificats SSL/TLS avec CloudFront.
  Remarque : Il est recommandé de demander un certificat public à l'ACM.
• Vérifiez votre politique AWS Key Management Service (AWS KMS) pour obtenir une instruction de refus explicite. Supprimez les refus explicites pour les actions kms:DescribeKey, kms:CreateGrant ou kms:*. Accordez également à CloudFront l'autorisation d'effectuer les actions.

Utilisez également les configurations suivantes pour le certificat :

• Importez le certificat dans la région USA Est (Virginie du Nord).
• Utilisez une clé de certificat de 4096 bits ou moins.
• Ne protégez pas le mot de passe.
• Encodez le certificat au format PEM.

Utilisez un certificat qui inclut le CNAME

Le message d’erreur suivant s’affiche :

« To add an alternate domain name (CNAME) to a CloudFront distribution, you must attach a trusted certificate that validates your authorization to use the domain name. »

Cette erreur se produit lorsque le nom alternatif d’objet (SAN) du certificat n'inclut pas le CNAME que vous avez spécifié dans la distribution CloudFront.

Pour résoudre ce problème, demandez un certificat public. Vous pouvez également contacter votre autorité de certification (CA) pour obtenir un certificat mis à jour qui inclut les CNAME de la distribution.

Utilisez cinq certificats ou moins

Le message d’erreur suivant s’affiche :

« The certificate that is attached to your distribution has too many certificates in the certificate chain. »

Cette erreur se produit lorsque vous dépassez le nombre maximum de cinq certificats dans la chaîne. Pour résoudre ce problème, utilisez une nouvelle chaîne de certificats contenant cinq certificats ou moins.

Si votre autorité de certification actuelle ne prend pas en charge cinq certificats ou moins, demandez un certificat public.

Obtenez une chaîne de certificats mise à jour

L'un des messages d'erreur suivants s'affiche :

« The certificate that is attached to your distribution has one or more expired certificates in the certificate chain. Make sure that each certificate in the chain is valid for the current date by reviewing the Not Valid After field. »

-ou-

« The certificate that is attached to your distribution has one or more certificates in the certificate chain that aren't valid yet. Make sure that each certificate in the chain is valid for the current date by reviewing the Not Valid Before field. »

Si votre certificat a expiré, vous devez obtenir une chaîne de certificats mise à jour auprès de votre autorité de certification.

Procédez comme suit :

1. Téléchargez les fichiers de chaîne appropriés depuis votre CA.
2. Réimportez le certificat et chaînez-le dans ACM ou Gestion des identités et des accès AWS (AWS IAM).
3. Réessayez votre requête pour créer ou mettre à jour votre distribution CloudFront.

Si votre certificat n'est pas encore valide, vous ne pouvez pas l'importer. Vérifiez le champ du certificat « Non valide avant », puis réessayez votre requête.

Si vous ne pouvez pas réessayer votre requête, demandez un certificat public.

Utilisez une autorité de certification fiable

Le message d’erreur suivant s’affiche :

« The certificate that is attached to your distribution was not issued by a trusted Certificate Authority. »

Pour résoudre ce problème, procurez-vous un certificat auprès d'une autorité de certification fiable pour CloudFront qui vous permet d'utiliser un enregistrement CNAME. Si votre autorité de certification actuelle ne prend pas en charge ce scénario, demandez un certificat public.

Remarque : Vous pouvez utiliser un certificat auto-signé pour valider uniquement un enregistrement CNAME existant, et non un nouvel enregistrement CNAME.

Vérifiez le formatage dans le champ SAN

Le message d’erreur suivant s’affiche :

« The certificate that is attached to your distribution has a value in the SAN field that is not correctly formatted. »

CloudFront exige que chaque entrée soit un nom DNS contenant un nom de domaine complet (FQDN) ou une adresse IP. Les caractères génériques sont valides, mais vous ne pouvez pas ajouter de CNAME dont le niveau est supérieur ou inférieur à celui du caractère générique.

Si votre CA actuelle ne prend pas en charge ce scénario, demandez un certificat public.

Ajoutez le CNAME aux appels d'API

Le message d’erreur suivant s’affiche :

« The certificate that you specified doesn't cover the alternate domain name (CNAME) that you're trying to add. »

Cette erreur se produit lorsque le CNAME que vous essayez d'associer à votre distribution n'est pas inclus dans le SAN du certificat. Pour résoudre ce problème, vous devez fournir le CNAME dans les appels d'API CreateDistribution ou UpdateDistribution.

Réessayez les appels d'API

Le message d’erreur suivant s’affiche :

« CloudFront encountered an internal error. Please try again. »

Si le message d'erreur précédent s'affiche lorsque vous effectuez les appels d'API CreateDistribution ou UpdateDistribution, réessayez les appels. Si le problème persiste pendant une période prolongée, consultez le tableau de bord AWS Health pour les problèmes connexes.

Informations connexes

Pourquoi ne puis-je pas choisir un certificat SSL/TLS personnalisé pour ma distribution CloudFront ?