¿Cómo puedo resolver la excepción de error "InvalidViewerCertificate" al crear o actualizar una distribución de CloudFront?

6 minutos de lectura

Al intentar crear o actualizar una distribución de Amazon CloudFront, recibo una excepción de error "InvalidViewerCertificate. ¿Cómo puedo resolver este problema?

Resolución

Siga los pasos de resolución del mensaje de error que reciba:

"El certificado SSL especificado no existe, no se encuentra en la región us-east-1, no es válido o no incluye una cadena de certificados válida".

Este mensaje de error indica que el certificado no cumple uno o más de los siguientes requisitos para importarlo a AWS Certificate Manager (ACM) o para asociarlo a una distribución:

El certificado debe importarse en la región Este de EE. UU. (Norte de Virginia).
El certificado debe tener 2048 bits o menos.
El certificado no debe estar protegido con contraseña.
El certificado debe estar codificado en un archivo PEM.

Para asociar el certificado importado y la cadena de certificados a su distribución de CloudFront, debe asegurarse de que se cumplen estos requisitos. O bien, puede solicitar un certificado público de ACM en la región Este de EE. UU.(Norte de Virginia) para cumplir con los requisitos. A continuación, puede asociar el certificado recién solicitado con su distribución.

"Para añadir un nombre de dominio alternativo (CNAME) a una distribución de CloudFront, debe adjuntar un certificado de confianza que valide su autorización para usar el nombre del dominio."

Este mensaje de error indica que los nombres de dominio alternativos (CNAME) de la distribución no están incluidos en el nombre alternativo del sujeto (SAN) del certificado que proporcionó. Puede solicitar un certificado público de ACM o ponerse en contacto con su autoridad de certificación (CA) para obtener un certificado actualizado que incluya los nombres de dominio alternativos de la distribución.

"El certificado adjunto a su distribución tiene demasiados certificados en la cadena de certificados."

Este mensaje de error indica que el número de certificados de la cadena supera el valor máximo de cinco. Necesita una nueva cadena de certificados con cinco certificados o menos. Si su autoridad de certificación (CA) actual no lo admite, puede utilizar ACM para emitir un certificado válido y gratuito.

"El certificado que se adjunta a su distribución tiene uno o más certificados caducados en la cadena de certificados. "Asegúrese de que cada certificado de la cadena sea válido para la fecha actual consultando el campo No válido después."

Este mensaje de error indica que una o más de las cadenas de certificados han caducado en el certificado que CloudFront intenta usar. Descargue los archivos de cadena adecuados desde su autoridad de certificación (CA) y vuelva a importarlos a ACM o a AWS Identity and Access Management (IAM). A continuación, vuelva a realizar la solicitud. Si su CA actual no lo admite, puede utilizar ACM para emitir un certificado válido y gratuito.

"El certificado que se adjunta a su distribución tiene uno o más certificados en la cadena de certificados que aún no son válidos. "Asegúrese de que cada certificado de la cadena sea válido para la fecha actual consultando el campo No válido antes."

Este mensaje de error indica que una o más de las cadenas de certificados aún no son válidas en el certificado que CloudFront intenta usar. Esto significa que la fecha de inicio del certificado es posterior, por lo que el certificado aún no es válido. Descargue los archivos de cadena adecuados de la autoridad de certificación (CA) y vuelva a importarlos a ACM o a IAM. A continuación, vuelva a realizar la solicitud. Si su CA actual no lo admite, puede utilizar ACM para emitir un certificado válido y gratuito.

"El certificado que se adjunta a su distribución no lo emitió una autoridad de certificación de confianza."

Este mensaje de error indica que el certificado no lo emitió una autoridad de certificación (CA) de confianza. Emita un certificado de una CA de confianza para CloudFront que le permita utilizar un nombre de dominio alternativo (CNAME). Si su CA actual no lo admite, puede utilizar ACM para emitir un certificado válido y gratuito.

**Nota:**No se admiten los certificados autofirmados.

"El certificado adjunto a su distribución tiene un valor en el campo SAN que no tiene el formato correcto."

Este mensaje de error indica que el nombre alternativo del sujeto (SAN) no tiene el formato correcto. CloudFront requiere que cada entrada sea un nombre DNS que contenga un nombre de dominio completo (FQDN) o una dirección IP de un servidor. Las entradas comodín son válidas, pero no puede añadir nombres de dominio alternativos (CNAME) que estén en niveles superiores o inferiores al comodín. Si su autoridad de certificación (CA) actual no lo admite, puede utilizar ACM para emitir un certificado válido y gratuito.

"El certificado que especifico no cubre el nombre de dominio alternativo (CNAME) que está intentando añadir."

Este mensaje de error indica que uno o más de los nombres de dominio alternativos (CNAME) que intenta asociar a su distribución no están incluidos en el nombre alternativo del asunto (SAN) del certificado que se proporciona en las llamadas a la API CreateDistribution o UpdateDistribution. Comprueba que está proporcionando el certificado correcto en la llamada a la API.

"CloudFront ha encontrado un error interno. Vuelve a intentarlo."

Este mensaje de error indica que se ha producido un problema interno al realizar la llamada a la API CreateDistribution o UpdateDistribution. Se recomienda volver a intentar la llamada a la API posteriormente. Si este error continúa durante un período prolongado, consulte AWS Service Health Dashboard para detectar posibles problemas.

"El certificado SSL especificado no existe, no se encuentra en la región us-east-1, no es válido o no incluye una cadena de certificados válida".

Este mensaje de error puede aparecer cuando hay una declaración de denegación explícita para AWS KMS en la evaluación de la política para un usuario o rol. El error es más habitual si se niega explícitamente alguna de las siguientes acciones de AWS KMS: kms:DescribeKey, kms:CreateGrant o kms:*.

Estas políticas se encuentran en cualquier parte de la evaluación de las políticas para el usuario o rol. Por ejemplo, políticas basadas en la identidad, políticas de control de servicios (SCP) o límites de permisos, por nombrar algunas. Para obtener más información, consulte Evaluación de políticas dentro de una misma cuenta.

Temas

Redes y entrega de contenido

Etiquetas

Amazon CloudFront

Idioma

Español

OFICIAL DE AWSActualizada hace 2 años

Contenido relevante

¿Cómo puedo saber a qué cuenta de AWS pertenece una distribución de CloudFront?
OFICIAL DE AWSActualizada hace 2 años
¿Cómo puedo resolver el error «CNAMEAlreadyExists» al crear un nombre de dominio personalizado optimizado para periferia para la API Gateway?
OFICIAL DE AWSActualizada hace 2 años
¿Cómo soluciono el error CNAMEAlreadyExists al configurar un alias de CNAME para mi distribución de CloudFront?
OFICIAL DE AWSActualizada hace un año
¿Cómo puedo resolver el error «CloudFront no ha podido conectarse al origen»?
OFICIAL DE AWSActualizada hace 2 años