Come posso risolvere i problemi relativi a un certificato SSL personalizzato utilizzato per la mia distribuzione CloudFront?

4 minuti di lettura

Desidero risolvere un problema relativo a un certificato SSL personalizzato su Gestione certificati AWS (ACM) o AWS Identity and Access Management (IAM) per la mia distribuzione Amazon CloudFront.

Breve descrizione

Di seguito sono riportati i problemi più comuni relativi a un certificato SSL personalizzato utilizzato per una distribuzione CloudFront:

Quando configuri la distribuzione, non hai la possibilità di scegliere il tuo certificato SSL personalizzato.
Non puoi scegliere il certificato SSL anche se potresti essere in grado di utilizzare lo stesso certificato con il tuo bilanciatore del carico.

Risoluzione

Nota: se si verificano errori durante l'esecuzione dei comandi dell'interfaccia della linea di comando AWS (AWS CLI), consulta Troubleshooting errors for the AWS CLI. Inoltre, assicurati di utilizzare la versione più recente di AWS CLI.

Per risolvere i problemi relativi a un certificato SSL personalizzato per la tua distribuzione CloudFront, controlla quanto segue:

Se utilizzi un certificato richiesto da o importato in ACM, verifica che il certificato soddisfi i requisiti

Per assegnare un certificato ACM a una distribuzione CloudFront, richiedi o importa il certificato nella regione Stati Uniti orientali (Virginia settentrionale). Se usi la console ACM, controlla il selettore della regione nella barra di navigazione. Verifica che sia selezionata Stati Uniti orientali (Virginia settentrionale) prima di richiedere o importare il certificato.

Nota: dopo l'assegnazione di un certificato ACM a una distribuzione CloudFront, il certificato viene distribuito a tutte le posizioni edge per la classe di prezzo della distribuzione CloudFront.
Dopo aver utilizzato la convalida DNS o la convalida e-mail per convalidare il certificato ACM, assicurati che lo stato del certificato sia Emesso. Lo stato deve essere Emesso prima che tu possa assegnare il certificato a una distribuzione CloudFront.
CloudFront supporta chiavi RSA a 1024 bit, 2048 bit, 3072 bit e 4096 bit.
Per i certificati importati, assicurati che il certificato soddisfi i prerequisiti per l'importazione di un certificato.

Se utilizzi un certificato importato in IAM, verifica il percorso di CloudFront

Quando importi il certificato SSL in IAM, fornisci il percorso corretto in modo che CloudFront possa utilizzare il certificato. Esegui il comando di AWS CLI seguente per caricare il certificato con un percorso CloudFront specificato:

Nota: prima di eseguire questo comando, assicurati di sostituire tutti i valori con i dati del tuo certificato e della tua distribuzione CloudFront.

aws iam upload-server-certificate --server-certificate-name CertificateName--certificate-body file://public_key_certificate_file --private-key file://privatekey.pem
--certificate-chain file://certificate_chain_file --path /cloudfront/DistributionName/

Se non hai caricato il certificato con il percorso CloudFront, esegui questo comando per aggiornare il certificato con il percorso:

aws iam update-server-certificate --server-certificate-name CertificateName --new-path /cloudfront/DistributionName/

Nota: dopo l'aggiunta di un certificato a una distribuzione CloudFront, lo stato della distribuzione cambia da Distribuito a In corso. Lo stato della distribuzione torna a Distribuito quando il cambiamento viene distribuito in tutte le posizioni edge di CloudFront. Il tempo di distribuzione è solitamente di 5 minuti.

Verifica di disporre delle autorizzazioni necessarie quando assegni un certificato da ACM o IAM alla distribuzione CloudFront

L'utente o il ruolo IAM che usi per assegnare il certificato deve avere le autorizzazioni seguenti:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "acm:ListCertificates",
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "cloudfront:ListDistributions",
        "cloudfront:ListStreamingDistributions"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "cloudfront:List*",
        "cloudfront:Get*",
        "cloudfront:Update*"
      ],
      "Resource": "arn:aws:cloudfront::account-id:distribution/distribution-id"
    },
    {
      "Effect": "Allow",
      "Action": "iam:ListServerCertificates",
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "iam:GetServerCertificate",
        "iam:UpdateServerCertificate"
      ],
      "Resource": "arn:aws:iam::account-id:server-certificate/certificate-name-with-path"
    }
  ]
}

Informazioni correlate

Come faccio a risolvere l'eccezione di errore "InvalidViewerCertificate" durante la creazione o l'aggiornamento di una distribuzione CloudFront?

Requirements for using SSL/TLS certificates with CloudFront

Argomenti

Networking e distribuzione di contenuti

Tag

Amazon CloudFront

Lingua

Italiano

Video correlati

Guarda il video di Vinay per saperne di più (2:06)

AWS UFFICIALEAggiornata 4 mesi fa

Contenuto pertinente

Come faccio a risolvere l'errore "CNAMEAlreadyExists" quando configuro un alias CNAME per la mia distribuzione CloudFront?
AWS UFFICIALEAggiornata 4 mesi fa
Come posso risolvere i problemi relativi alle origini di EC2 in CloudFront?
AWS UFFICIALEAggiornata 3 anni fa
Come posso risolvere i problemi relativi a un URL firmato o ai cookie firmati in CloudFront?
AWS UFFICIALEAggiornata un anno fa
Come posso configurare API Gateway con la mia distribuzione CloudFront?
AWS UFFICIALEAggiornata 4 mesi fa