为什么我无法找到为我的负载均衡器或 CloudFront 分配导入的证书?

上次更新时间:2020 年 1 月 7 日

我使用 AWS Certificate Manager (ACM) 请求或导入了证书。我正在配置负载均衡器或 Amazon CloudFront 分配,但无法找到该证书。 

简短描述

如果您没有为您的域名颁发的证书,您可以使用 ACM请求公有证书。要将第三方证书用于负载均衡器,您可以将证书导入 ACM 或上传证书到 AWS Identity and Access Management (IAM)。

注意:ACM 证书只能用于与 ACM 集成的服务

如果存在下列任何情况,您可能找不到导入的证书或 ACM 证书:

  • 导入 ACM 的证书使用的算法非 1024 位 RSA 算法或 2048 位 RSA 算法。
  • 请求该 ACM 证书的 AWS 区域与您的负载均衡器或 CloudFront 分配所在区域不同。

解决方案

导入 ACM 的证书使用的算法非 1024 位 RSA 算法或 2048 位 RSA 算法

虽然 ACM 允许您导入使用 4096 位 RSA 和 EC 密钥算法的证书,但这些证书不能通过与 ACM 集成的方式关联到负载均衡器。以下导入的密钥算法可与 Classic Load Balancer 和 Application Load Balancer 搭配使用:

算法

ACM(首选)

IAM

1024 位 RSA (RSA_1024)
2048 位 RSA(RSA_2048)
RSA(最高 16384 位)  
椭圆曲线 (ECDSA)  

注意:网络负载均衡器不允许使用大于 2048 位的 RSA 密钥或 EC 密钥的证书。

要安装 SSL 证书,请按照适合于您的负载均衡器类型的说明进行操作:

如果导入的证书不受 ACM 支持,请遵循将 SSL 证书导入 IAM 的说明。然后将导入的证书关联到负载均衡器。有关更多信息,请参阅上传服务器证书 (AWS API)

对于 CloudFront 分配,证书的密钥算法必须为 1024 位 RSA 或 2048 位 RSA。有关更多信息,请参阅公有密钥的大小

要在 CloudFront 分配上安装 SSL 证书,请参阅将 HTTPS 与 CloudFront 一起使用

请求该 ACM 证书的 AWS 区域与您的负载均衡器或 CloudFront 分配所在区域不同

请求或导入 ACM 证书的 AWS 区域必须与您的 Classic Load Balancer 或 Application Load Balancer 所在区域相同。

要将 ACM 证书与 Amazon CloudFront 结合使用,必须在美国东部(弗吉尼亚北部)区域导入或请求证书。有关更多信息,请参阅请求证书时所在的 AWS 区域(适用于 AWS Certificate Manager)