ACM을 사용하여 CloudFront 배포 "InvalidViewerCertificate" 도메인 이름 오류를 해결하려면 어떻게 해야 합니까?

해결 방법

인증서가 모든 요구 사항을 충족하는지 확인

다음 오류 메시지가 표시됩니다.

 "The specified SSL certificate doesn't exist, isn't in us-east-1 region, isn't valid, or doesn't include a valid certificate chain."

이 문제를 해결하려면 다음 작업을 수행하십시오.

• SSL 인증서가 ACM으로 가져오기 위한 사전 요구 사항과 CloudFront에서 SSL/TLS 인증서를 사용하기 위한 요구 사항을 충족하는지 확인합니다.
  참고: ACM에서 퍼블릭 인증서를 요청하는 것이 좋습니다.
• AWS Key Management Service(AWS KMS) 정책에 명시적인 Deny 문이 있는지 확인합니다. kms:DescribeKey, kms:CreateGrant 또는 kms:* 작업에 대한 명시적 거부를 제거하십시오. 또한 CloudFront에 작업을 수행할 수 있는 권한을 부여하십시오.

또한 인증서에 다음 구성을 사용합니다.

• 미국 동부(버지니아 북부) 리전에서 인증서를 가져옵니다.
• 4096비트 이하의 인증서 키를 사용합니다.
• 암호를 보호하지 않도록 합니다.
• 인증서를 PEM으로 인코딩합니다.

CNAME이 포함된 인증서 사용

다음 오류 메시지가 표시됩니다.

"To add an alternate domain name (CNAME) to a CloudFront distribution, you must attach a trusted certificate that validates your authorization to use the domain name."

이 오류는 CloudFront 배포에서 지정한 CNAME이 인증서의 SAN(주체 대체 이름)에 포함되어 있지 않은 경우 발생합니다.

이 문제를 해결하려면 퍼블릭 인증서를 요청하십시오. 또한 인증 기관(CA)에 문의하여 배포에 CNAME이 포함된 업데이트된 인증서를 요청할 수도 있습니다.

5개 이하의 인증서 사용

다음 오류 메시지가 표시됩니다.

"The certificate that is attached to your distribution has too many certificates in the certificate chain."

이 오류는 체인의 최대 인증서 수인 5개를 초과할 때 발생합니다. 이 문제를 해결하려면 인증서가 5개 이하인 새 인증서 체인을 사용하십시오.

현재 CA가 5개 이하의 인증서를 지원하지 않는 경우 퍼블릭 인증서를 요청하십시오.

업데이트된 인증서 체인 받기

다음 오류 메시지 중 하나가 표시됩니다.

"The certificate that is attached to your distribution has one or more expired certificates in the certificate chain. Make sure that each certificate in the chain is valid for the current date by reviewing the Not Valid After field."

-또는-

"The certificate that is attached to your distribution has one or more certificates in the certificate chain that aren't valid yet. Make sure that each certificate in the chain is valid for the current date by reviewing the Not Valid Before field."

인증서가 만료된 경우 CA에서 업데이트된 인증서 체인을 받아야 합니다.

다음 단계를 완료하십시오.

1. CA에서 올바른 체인 파일을 다운로드합니다.
2. 인증서와 체인을 ACM 또는 AWS Identity and Access Management(IAM)로 다시 가져옵니다.
3. 요청을 다시 시도하여 CloudFront 배포를 생성하거나 업데이트합니다.

인증서가 아직 유효하지 않으면 가져올 수 없습니다. “유효 기간 시작:” 인증서 필드를 확인한 다음, 요청을 다시 시도하십시오.

요청을 다시 시도할 수 없는 경우 퍼블릭 인증서를 요청하십시오.

신뢰할 수 있는 CA 사용

다음 오류 메시지가 표시됩니다.

 "The certificate that is attached to your distribution was not issued by a trusted Certificate Authority."

이 문제를 해결하려면 CNAME 레코드를 사용할 수 있는 신뢰할 수 있는 CloudFront용 CA로부터 인증서를 받으십시오. 현재 CA가 이 시나리오를 지원하지 않는 경우 퍼블릭 인증서를 요청하십시오.

참고: 자체 서명 인증서를 사용하여 새 CNAME 레코드가 아닌 기존 CNAME 레코드만 검증할 수 있습니다.

SAN 필드의 형식 확인

다음 오류 메시지가 표시됩니다.

"The certificate that is attached to your distribution has a value in the SAN field that is not correctly formatted."

CloudFront에서는 각 항목이 FQDN(정규화된 도메인 이름) 또는 IP 주소를 포함하는 DNS 이름이어야 합니다. 와일드카드 항목은 유효하지만 와일드카드보다 높거나 낮은 수준의 CNAME은 추가할 수 없습니다.

현재 CA가 이 시나리오를 지원하지 않는 경우 퍼블릭 인증서를 요청하십시오.

API 호출에 CNAME 추가

다음 오류 메시지가 표시됩니다.

"The certificate that you specified doesn't cover the alternate domain name (CNAME) that you're trying to add."

이 오류는 배포에 연결하려는 CNAME이 인증서의 SAN에 포함되어 있지 않은 경우 발생합니다. 이 문제를 해결하려면 CreateDistribution 또는 UpdateDistribution 호출에서 CNAME을 제공해야 합니다.

API 호출 재시도

다음 오류 메시지가 표시됩니다.

"CloudFront encountered an internal error. Please try again."

CreateDistribution 또는 UpdateDistribution API를 호출할 때 위의 오류 메시지가 표시되면 호출을 다시 시도하십시오. 문제가 장시간 계속되면 AWS Health Dashboard에서 관련 문제를 확인하십시오.

관련 정보

CloudFront 배포에 사용자 지정 SSL/TLS 인증서를 선택할 수 없는 이유는 무엇입니까?