如何解决在创建或更新 CloudFront 分配时收到的“InvalidViewerCertificate”错误?

2 分钟阅读
0

我在尝试创建或更新 Amazon CloudFront 分配时收到了“InvalidViewerCertificate”错误。如何解决此问题?

解决方法

当您收到如下错误消息时需要执行的错误解决步骤:

“The specified SSL certificate doesn't exist, isn't in us-east-1 region, isn't valid, or doesn't include a valid certificate chain.(指定的 SSL 证书不存在、不在 us-east-1 区域中、无效或未包含有效的证书链。)”

此错误消息说明证书不满足以下与导入到 AWS Certificate Manager (ACM)与分配关联有关的一个或多个要求:

  • 证书必须导入到美国东部(弗吉尼亚北部)区域。
  • 证书必须是 2048 位或更小。
  • 证书不得有密码保护。
  • 证书必须使用 PEM 编码。

如要将导入的证书和证书链关联到您的 CloudFront 分配,您必须确保它们满足这些要求。您还可以在美国东部(弗吉尼亚北部)区域请求来自 ACM 的公有证书以满足要求。然后,您可以将新请求的证书关联到您的分配。

“如要为 CloudFront 分配添加备用域名 (CNAME) ,您必须附上可信的证书,以验证您拥有使用该域名的授权。”

此错误消息说明分配上的备用域名 (CNAME) 不在所提供证书的主题替代名称 (SAN) 范围内。您可以使用 ACM 申请公有证书,或者联系您的证书颁发机构 (CA) 提供更新的证书,以覆盖分配上的备用域名。

“附加到分配的证书的证书链内含有过多证书。”

此错误消息说明证书链中的证书数量超出最大值 5。您需要一个含有五个或以下证书的新证书链。如果您当前的证书颁发机构 (CA) 不支持这种情况,您可以使用 ACM 免费颁发有效的证书。

“附加到分配的证书的证书链内含有一个或多个已过期的证书。请检查‘失效日期’字段,确保证书链内的每个证书在当前日期都有效。”

此错误消息说明在 CloudFront 尝试使用的证书的证书链内,有一个或多个证书已过期。请从您的证书颁发机构 (CA) 下载正确的链文件,然后将您的证书和链文件重新导入到 ACMAWS Identity and Access Management (IAM)。然后再重试您的请求。如果您当前的 CA 不支持这种情况,您可以使用 ACM 免费颁发有效的证书。

“附加到分配的证书的证书链内含有一个或多个尚未生效的证书。请检查‘生效日期’字段,确保证书链内的每个证书在当前日期都有效。”

此错误消息说明在 CloudFront 尝试使用的证书的证书链内,有一个或多个证书尚未生效。这意味着该证书的起始日期是一个未来的日期,因此该证书尚未生效。请从您的证书颁发机构 (CA) 下载正确的链文件,然后将您的证书和链文件重新导入到 ACMIAM。然后再重试您的请求。如果您当前的 CA 不支持这种情况,您可以使用 ACM 免费颁发有效的证书。

“附加到分配的证书非由可信的证书颁发机构颁发。”

此错误消息说明该证书不是由可信的证书颁发机构 (CA) 颁发。请从可信的 CA 为 CloudFront 颁发证书,从而便于您使用备用域名 (CNAME)。如果您当前的 CA 不支持这种情况,您可以使用 ACM 免费颁发有效的证书。

**注意:**不支持自我签名证书。

“附加到分配的证书 SAN 字段中的值格式不正确。”

此错误消息说明主题替代名称 (SAN) 格式不正确。CloudFront 要求每个条目必须是一个包含服务器的完全限定域名 (FQDN) 或 IP 地址的 DNS 名称。允许使用通配符条目,但是您不能添加比所用通配符更高或更低级别的备用域名 (CNAME)。如果您当前的证书颁发机构 (CA) 不支持这种情况,您可以使用 ACM 免费颁发有效的证书。

“您指定的证书未覆盖您尝试添加的备用域名 (CNAME)。”

此错误消息表示您尝试关联到分配的一个或多个备用域名 (CNAME),未包含在 CreateDistribution 或 UpdateDistribution API 调用提供的证书的主题替代名称 (SAN) 中。验证您在 API 调用中提供了正确的证书。

“CloudFront 出现内部错误。请重试。”

此错误消息说明在发出 CreateDistribution 或 UpdateDistribution API 调用时出现内部问题。最佳做法是稍后重试 API 调用。如果在较长时间后此错误仍然存在,请检查 AWS Service Health Dashboard(AWS 服务运行状况控制面板)以了解当前可能存在的问题。

“The specified SSL certificate doesn't exist, isn't in us-east-1 region, isn't valid, or doesn't include a valid certificate chain.(指定的 SSL 证书不存在、不在 us-east-1 区域中、无效或未包含有效的证书链。)”

在用户或角色的策略评估中存在针对 AWS KMS 的显式拒绝语句时,可能会出现此错误消息。如果以下任何 AWS KMS 操作被显式拒绝,则最有可能出现该错误:kms:DescribeKeykms:CreateGrantkms:*

这些策略可以在用户或角色的策略评估中找到。例如,基于身份的策略、服务控制策略(SCP)或权限边界等。要了解详情,请参阅评估单个账户中的策略


AWS 官方
AWS 官方已更新 2 年前