For the most recent update on ongoing service disruptions affecting the AWS Middle East (UAE) Region (ME-CENTRAL-1), refer to the AWS Health Dashboard. For information on AWS Service migration, see How do I migrate my services to another region?
Come posso utilizzare ACM per risolvere gli errori relativi al nome di dominio "InvalidViewerCertificate" di una distribuzione di CloudFront?
Desidero utilizzare Gestione certificati AWS (ACM) per risolvere gli errori "InvalidViewerCertificate" che ricevo quando creo o aggiorno la mia distribuzione di Amazon CloudFront.
Risoluzione
Accertati che il certificato soddisfi tutti i requisiti
Ricevi il seguente messaggio di errore:
"The specified SSL certificate doesn't exist, isn't in us-east-1 region, isn't valid, or doesn't include a valid certificate chain."
Per risolvere il problema, intraprendi le seguenti azioni:
- Assicurati che il certificato SSL soddisfi i prerequisiti per l'importazione in ACM e i requisiti per utilizzare i certificati SSL/TLS con CloudFront.
Nota: è consigliabile richiedere un certificato pubblico ad ACM. - Controlla se nella policy del Servizio AWS di gestione delle chiavi (AWS KMS) è presente un'istruzione Deny esplicita. Rimuovi i dinieghi espliciti per le azioni kms:DescribeKey, kms:CreateGrant o kms:*. Concedi a CloudFront l'autorizzazione per eseguire le azioni.
Infine, utilizza le seguenti configurazioni per il certificato:
- Importa il certificato nella Regione Stati Uniti orientali (Virginia settentrionale).
- Utilizza una chiave del certificato di 4.096 bit o meno.
- Non proteggere la password.
- Codifica in PEM il certificato.
Utilizza un certificato che includa il CNAME
Ricevi il seguente messaggio di errore:
"To add an alternate domain name (CNAME) to a CloudFront distribution, you must attach a trusted certificate that validates your authorization to use the domain name."
Questo errore si verifica quando il nome alternativo del soggetto (SAN) sul certificato non include il CNAME specificato nella distribuzione di CloudFront.
Per risolvere il problema, richiedi un certificato pubblico. Puoi anche contattare l'autorità di certificazione (CA) per un certificato aggiornato che includa i CNAME nella distribuzione.
Utilizza cinque certificati o meno
Ricevi il seguente messaggio di errore:
"The certificate that is attached to your distribution has too many certificates in the certificate chain."
Questo errore si verifica quando superi il numero massimo di cinque certificati nella catena. Per risolvere il problema, utilizza una nuova catena di certificati con cinque certificati o meno.
Se la CA corrente non supporta cinque certificati o meno, richiedi un certificato pubblico.
Ottieni una catena di certificati aggiornata
Ricevi uno dei seguenti messaggi di errore:
"The certificate that is attached to your distribution has one or more expired certificates in the certificate chain. Make sure that each certificate in the chain is valid for the current date by reviewing the Not Valid After field."
-oppure-
"The certificate that is attached to your distribution has one or more certificates in the certificate chain that aren't valid yet. Make sure that each certificate in the chain is valid for the current date by reviewing the Not Valid Before field."
Se il certificato è scaduto, devi ottenere una catena di certificati aggiornata dalla CA.
Completa i seguenti passaggi:
- Scarica i file della catena corretti dalla CA.
- Reimporta il certificato e la catena in ACM o AWS Identity and Access Management (AWS IAM).
- Ritenta la richiesta per creare o aggiornare la distribuzione di CloudFront.
Se il certificato non è ancora valido, non puoi importarlo. Seleziona il campo del certificato "Not Valid Before" (Non valido prima del), quindi ritenta la richiesta.
Se non riesci a ritentare la richiesta, richiedi un certificato pubblico.
Utilizza una CA affidabile
Ricevi il seguente messaggio di errore:
"The certificate that is attached to your distribution was not issued by a trusted Certificate Authority."
Per risolvere il problema, richiedi un certificato da una CA affidabile per CloudFront che ti consenta di utilizzare un record CNAME. Se la CA corrente non supporta questo scenario, richiedi un certificato pubblico.
Nota: puoi utilizzare un certificato autofirmato per convalidare solo un record CNAME esistente, non un nuovo record CNAME.
Verifica la formattazione nel campo SAN
Ricevi il seguente messaggio di errore:
"The certificate that is attached to your distribution has a value in the SAN field that is not correctly formatted."
CloudFront richiede che ogni voce sia un nome DNS contenente un nome di dominio completo (FQDN) o un indirizzo IP. I caratteri jolly sono validi, ma non puoi aggiungere un CNAME di livello superiore o inferiore rispetto al carattere jolly.
Se la CA corrente non supporta questo scenario, richiedi un certificato pubblico.
Aggiungi il CNAME alle chiamate API
Ricevi il seguente messaggio di errore:
"The certificate that you specified doesn't cover the alternate domain name (CNAME) that you're trying to add."
Questo errore si verifica quando il CNAME che stai tentando di associare alla distribuzione non è incluso nel SAN del certificato. Per risolvere il problema, devi fornire il CNAME nelle chiamate API CreateDistribution o UpdateDistribution.
Ritenta le chiamate API
Ricevi il seguente messaggio di errore:
"CloudFront encountered an internal error. Please try again."
Se ricevi il messaggio di errore precedente quando effettui le chiamate API CreateDistribution o UpdateDistribution, ritentale. Se il problema persiste a lungo, controlla Dashboard AWS Health per i problemi correlati.
Informazioni correlate
- Argomenti
- Networking & Content Delivery
- Lingua
- Italiano
