為什麼我找不到負載平衡器或 CloudFront 分配的已匯入憑證?
我使用 AWS Certificate Manager (ACM) 請求或匯入憑證。我正在設定負載平衡器或 Amazon CloudFront 分配,但找不到憑證。
簡短說明
如果您沒有針對您的網域名稱核發的憑證,您可以使用 ACM 請求公有憑證。若要將第三方憑證與負載平衡器搭配使用,請將憑證匯入 ACM,或將憑證上傳至 AWS Identity and Access Management (IAM)。
重要事項:
- 最佳實務是當您必須在 ACM 不支援的區域中支援 HTTPS 連線時,使用 IAM 做為憑證管理員。如需詳細資訊,請參閱在 IAM 中管理伺服器憑證。
- ACM 憑證僅能搭配使用與 ACM 整合的服務。
在下列情況下,您將找不到匯入的憑證或 ACM 憑證:
- 匯入 ACM 的憑證使用的演算法不受負載平衡器或 CloudFront 分配支援。
- 未在與負載平衡器或 CloudFront 分配相同的 AWS 區域中請求 ACM 憑證。
解決方案
匯入 ACM 的憑證使用的演算法不受負載平衡器或 CloudFront 分配支援。
雖然 ACM 允許使用 4096 位元 RSA 和 EC 金鑰演算法的憑證,但這些憑證無法透過與 ACM 整合的所有負載平衡器建立關聯。下列匯入的金鑰演算法可與 Classic Load Balancer 及 Application Load Balancer 搭配使用:
| 演算法 | Classic ACM (偏好) | Application ACM (偏好) | IAM |
| 1024 位元 RSA (RSA_1024) | 是 | 是 | 是 |
| 2048 位元 RSA (RSA_2048) | 是 | 是 | 是 |
| RSA_4096 | 否 | 是 | 是 |
| RSA (最多 16384 位元) | 否 | 否 | 是 |
| Elliptic Curve (ECDSA) | 否 | 是 | 是 |
**注意事項:**Network Load Balancer 不允許使用 RSA 金鑰大於 2048 位元或 EC 金鑰的憑證。
若要安裝 SSL 憑證,請遵循下列適用於您的負載平衡器類型的指示:
- 為您的 Classic Load Balancer 設定 HTTPS 接聽程式
- 為您的 Application Load Balancer 建立 HTTP 接聽程式
- 為您的 Network Load Balancer 建立接聽程式
如果 ACM 不支援匯入的憑證,請遵循指示以將 SSL 憑證匯入 IAM。然後,將匯入的憑證與負載平衡器建立關聯。如需詳細資訊,請參閱上傳伺服器憑證 (AWS API)。
對於 CloudFront 分配,憑證的金鑰演算法必須為 1024 位元 RSA 或 2048 位元 RSA。如需詳細資訊,請參閱公有金鑰大小。
若要在 CloudFront 分配上安裝 SSL 憑證,請參閱使用 CloudFront 的 HTTPS。
未在與負載平衡器或 CloudFront 分配相同的 AWS 區域中請求 ACM 憑證
ACM 憑證必須在與負載平衡器相同的 AWS 區域中請求或匯入。
若要將 ACM 憑證與 Amazon CloudFront 搭配使用,必須在美國東部 (維吉尼亞北部) 區域中匯入或請求憑證。如需詳細資訊,請參閱您請求憑證的 AWS 區域 (適用於 AWS Certificate Manager)。
相關資訊
相關內容
- 已提問 3 個月前
- AWS 官方已更新 1 年前
- AWS 官方已更新 1 年前
- AWS 官方已更新 2 年前