如何解決建立或更新 CloudFront 分佈時的 "InvalidViewerCertificate" 錯誤例外狀況?

1 分的閱讀內容
0

嘗試建立或更新 Amazon CloudFront 分佈時,我收到 "InvalidViewerCertificate" 錯誤例外狀況。我該如何解決此問題?

解決方法

請依照您收到的錯誤訊息的解決步驟執行:

「指定的 SSL 憑證不存在、不在 us-east-1 區域中、無效或不包含有效的憑證鏈。」

此錯誤訊息指出憑證不符合下列一或多個匯入 AWS Certificate Manager (ACM)與分佈關聯的要求:

  • 憑證必須在美國東部 (維吉尼亞北部) 區域匯入。
  • 憑證必須是 2048 位元或更小。
  • 憑證不得受密碼保護。
  • 憑證必須採用 PEM 編碼。

若要將匯入的憑證和憑證鏈與 CloudFront 分佈產生關聯,您必須確定它們符合這些要求。或者,您可以向美國東部 (維吉尼亞北部) 區域的 ACM 請求公用憑證,以符合要求。然後,您可以將新請求的憑證與您的分佈產生關聯。

「若要將備用網域名稱 (CNAME) 新增至 CloudFront 分佈,您必須附加受信任的憑證,以驗證您的授權才能使用網域名稱。」

此錯誤訊息表示分佈上的備用網域名稱 (CNAME) 未涵蓋在您提供的憑證的主體替代名稱 (SAN) 中。您可以使用 ACM 請求公用憑證,也可以聯絡您的憑證授權單位 (CA) 以取得涵蓋分佈中備用網域名稱的更新憑證。

「附加到您的分佈的憑證在憑證鏈中有太多憑證。」

此錯誤訊息指出鏈結中的憑證數目超過上限五。您需要具有五個或更少憑證的新憑證鏈。如果您目前的憑證授權單位 (CA) 不支援此功能,您可以使用 ACM 簽發免費的有效憑證。

「附加到您的分佈的憑證在憑證鏈中具有一個或多個過期的憑證。檢閱在此之後無效欄位,確定鏈結中的每個憑證在目前日期均有效。」

此錯誤訊息指出 CloudFront 嘗試使用的憑證中的一或多個憑證鏈已過期。從憑證授權單位 (CA) 下載適當的鏈結檔案,然後將憑證和鏈結檔案重新匯入 ACMAWS 身分識別與存取管理 (IAM)。然後,重試您的請求。如果您目前的 CA 不支援此功能,您可以使用 ACM 簽發免費的有效憑證。

「附加到您的分佈的憑證在憑證鏈中有一個或多個尚未有效的憑證。檢閱在此之前無效欄位,確定鏈結中的每個憑證在目前日期均有效。」

此錯誤訊息指出 CloudFront 嘗試使用的憑證中有一或多個憑證鏈尚未有效。這表示憑證的開始日期為未來,因此憑證尚未有效。從憑證授權單位 (CA) 下載適當的鏈結檔案,然後將憑證和鏈結檔案重新匯入 ACMIAM。然後,重試您的請求。如果您目前的 CA 不支援此功能,您可以使用 ACM 簽發免費的有效憑證。

「附加到您的分佈的憑證不是由受信任的憑證授權單位簽發的。」

此錯誤訊息表示憑證不是由受信任的憑證授權單位 (CA) 所簽發。從受信任的 CA 簽發適用於 CloudFront 的憑證,以允許您使用備用網域名稱 (CNAME)。如果您目前的 CA 不支援此功能,您可以使用 ACM 簽發免費的有效憑證。

**注意:**不支援自我簽署憑證。

「附加到您的分佈的憑證在 SAN 欄位中具有未正確格式化的值。」

此錯誤訊息表示主體替代名稱 (SAN) 格式不正確。CloudFront 要求每個項目必須是包含完整網域名稱 (FQDN) 的 DNS 名稱或伺服器 IP 地址。萬用字元的項目有效,但您無法新增高於或低於萬用字元層級的備用網域名稱 (CNAME)。如果您目前的憑證授權單位 (CA) 不支援此功能,您可以使用 ACM 簽發免費的有效憑證。

「您指定的憑證不涵蓋您嘗試新增的備用網域名稱 (CNAME)。」

此錯誤訊息表示您嘗試與分佈產生關聯的一或多個備用網域名稱 (CNAME) 不會包含在 CreateDistribution 或 UpdateDistribution API 呼叫中提供的憑證的主體替代名稱 (SAN) 中。驗證您在 API 呼叫中提供正確的憑證。

「CloudFront 遇到內部錯誤。請再試一次。」

此錯誤訊息表示簽發 CreateDistribution 或 UpdateDistribution API 呼叫時發生內部問題。稍後重試 API 呼叫是最佳實務。如果長時間持續發生此錯誤,請查看 AWS 服務運作狀態儀表板以了解可能持續發生的問題。

「指定的 SSL 憑證不存在、不在 us-east-1 區域中、無效或不包含有效的憑證鏈。」

當使用者或角色的政策評估中有 AWS KMS 的明確拒絕陳述式時,可能會發生此錯誤訊息。如果明確拒絕下列任何 AWS KMS 動作,則此錯誤最常見:kms:DescribeKeykms:CreateGrantkms:*

這些政策可在使用者或角色的政策評估中的任何位置找到。例如,基於身份的政策、服務控制政策 (SCP) 或許可界限僅舉幾例..若要深入了解,請參閱評估單一帳戶內的政策


AWS 官方
AWS 官方已更新 2 年前