Como resolvo a exceção de erro “InvalidViewerCertificate” ao criar ou atualizar uma distribuição do CloudFront?

6 minuto de leitura
0

Ao tentar criar ou atualizar uma distribuição do Amazon CloudFront, recebo uma exceção de erro “InvalidViewerCertificate”. Como posso resolver isso?

Resolução

Siga as etapas de resolução da mensagem de erro que você recebe:

“O certificado SSL especificado não existe, não está na região us-east-1, não é válido ou não inclui uma cadeia de certificados válida.”

Essa mensagem de erro indica que o certificado não atende a um ou mais dos seguintes requisitos para importação para o AWS Certificate Manager (ACM) ou para associação com uma distribuição:

  • O certificado deve ser importado na região Leste dos EUA (Norte da Virgínia).
  • O certificado deve ter 2048 bits ou menos.
  • O certificado não deve ser protegido por senha.
  • O certificado deve ser codificado em PEM.

Para associar o certificado importado e a cadeia de certificados à sua distribuição do CloudFront, você deve se certificar de que eles atendam a esses requisitos. Ou solicite um certificado público do ACM na região Leste dos EUA (Norte da Virgínia) para atender aos requisitos. Em seguida, associe o certificado recém-solicitado à sua distribuição.

“Para adicionar um nome de domínio alternativo (CNAME) a uma distribuição do CloudFront, você deve anexar um certificado confiável que valide sua autorização para usar o nome de domínio.”

Essa mensagem de erro indica que os nomes de domínio alternativos (CNAMEs) na distribuição não estão cobertos pelo Nome Alternativo do Assunto (SAN) do certificado que você forneceu. Solicite um certificado público com o ACM ou entre em contato com sua autoridade de certificação (CA) para obter um certificado atualizado que cubra os nomes de domínio alternativos na distribuição.

“O certificado anexado à sua distribuição tem muitos certificados na cadeia de certificados.”

Essa mensagem de erro indica que o número de certificados na cadeia excede o valor máximo de cinco. Você precisa de uma nova cadeia de certificados com cinco ou menos certificados. Se sua autoridade de certificação (CA) atual não suportar isso, use o ACM para emitir um certificado válido gratuito.

“O certificado anexado à sua distribuição tem um ou mais certificados expirados na cadeia de certificados. Verifique se cada certificado na cadeia é válido para a data atual, revisando o campo Não válido após.”

Essa mensagem de erro indica que uma ou mais cadeias de certificados expiraram no certificado que o CloudFront está tentando usar. Faça o download dos arquivos de cadeia adequados da sua autoridade de certificação (CA) e reimporte seu certificado e os arquivos da cadeia para o ACM ou o AWS Identity and Access Management (IAM). Em seguida, tente novamente sua solicitação. Se sua CA atual não suportar isso, use o ACM para emitir um certificado válido gratuito.

“O certificado anexado à sua distribuição tem um ou mais certificados na cadeia de certificados que ainda não são válidos. Verifique se cada certificado na cadeia é válido para a data atual, revisando o campo Não é válido antes de.”

Essa mensagem de erro indica que uma ou mais cadeias de certificados ainda não são válidas no certificado que o CloudFront está tentando usar. Isso significa que a data de início do certificado está no futuro, portanto, o certificado ainda não é válido. Baixe os arquivos de cadeia adequados da sua autoridade de certificação (CA) e reimporte seus arquivos de certificado e cadeia para o ACM ou o IAM. Em seguida, tente novamente sua solicitação. Se sua CA atual não suportar isso, use o ACM para emitir um certificado válido gratuito.

“O certificado anexado à sua distribuição não foi emitido por uma autoridade de certificação confiável.”

Essa mensagem de erro indica que o certificado não foi emitido por uma autoridade de certificação (CA) confiável. Emita um certificado de uma CA confiável para o CloudFront para permitir que você use um nome de domínio alternativo (CNAME). Se sua CA atual não suportar isso, use o ACM para emitir um certificado válido gratuito.

**Observação:**não há suporte para certificados autoassinados.

“O certificado anexado à sua distribuição tem um valor no campo SAN que não está formatado corretamente.”

Essa mensagem de erro indica que o Nome Alternativo do Assunto (SAN) não está formatado corretamente. O CloudFront exige que cada entrada seja um nome DNS contendo um nome de domínio totalmente qualificado (FQDN) ou um endereço IP de um servidor. As entradas curinga são válidas, mas você não pode adicionar nomes de domínio alternativos (CNAMEs) que estejam em níveis mais altos ou mais baixos do que o curinga. Se sua autoridade de certificação (CA) atual não suportar isso, use o ACM para emitir um certificado válido gratuito.

“O certificado que você especificou não abrange o nome de domínio alternativo (CNAME) que está tentando adicionar.”

Essa mensagem de erro indica que um ou mais nomes de domínio alternativos (CNAMEs) que você está tentando associar à sua distribuição não estão incluídos no Nome Alternativo do Assunto (SAN) do certificado fornecido nas chamadas da API CreateDistribution ou UpdateDistribution. Verifique se você está fornecendo o certificado correto na chamada de API.

“O CloudFront encontrou um erro interno. Tente novamente.”

Essa mensagem de erro indica que houve um problema interno ao emitir a chamada da API CreateDistribution ou UpdateDistribution. É uma prática recomendada tentar novamente a chamada de API mais tarde. Se esse erro persistir por um longo período, verifique o AWS Service Health Dashboard para possíveis problemas contínuos.

“O certificado SSL especificado não existe, não está na região us-east-1, não é válido ou não inclui uma cadeia de certificados válida.”

Essa mensagem de erro pode ocorrer quando há uma declaração de negação explícita para o AWS KMS na avaliação da política de um usuário ou função. O erro é mais comum se qualquer uma das seguintes ações do AWS KMS for explicitamente negada: kms:DescribeKey, kms:CreateGrant ou kms:*.

Essas políticas são encontradas em qualquer lugar na avaliação de políticas para o usuário ou função. Por exemplo, políticas baseadas em identidade, políticas de controle de serviços (SCPs) ou limites de permissão, para citar alguns. Para saber mais, consulte Avaliação de políticas em uma única conta.


AWS OFICIAL
AWS OFICIALAtualizada há 2 anos