Comment puis-je résoudre les problèmes liés à l'utilisation d'un certificat SSL personnalisé pour ma distribution CloudFront ?

Lecture de 4 minute(s)
0

J'ai un certificat SSL sur les services AWS Certificate Manager (ACM) ou AWS Identity and Access Management (IAM), et je veux l'utiliser pour ma distribution Amazon CloudFront. Je souhaite résoudre les problèmes que je rencontre.

Brève description

Les problèmes les plus courants liés à l'utilisation d'un certificat SSL personnalisé pour votre distribution CloudFront sont les suivants :

  • Lors de la configuration de la distribution, vous n'avez pas la possibilité de sélectionner votre certificat SSL personnalisé.
  • Vous ne pouvez pas sélectionner le certificat SSL même si vous pouvez utiliser le même certificat avec votre équilibreur de charge.

Résolution

Pour résoudre les problèmes liés à l'utilisation d'un certificat SSL personnalisé avec votre distribution CloudFront, vérifiez les points suivants :

Si vous utilisez un certificat demandé par ACM ou importé dans celui-ci, vérifiez que votre certificat répond aux exigences

  • Pour attribuer un certificat ACM à une distribution CloudFront, demandez ou importez le certificat dans la région USA Est (Virginie du Nord). Si vous utilisez la console ACM, vérifiez le sélecteur de région dans la barre de navigation. Vérifiez que la case USA Est (Virginie du Nord) est sélectionnée avant de demander ou d'importer le certificat.
    Remarque : une fois que vous avez attribué un certificat ACM à une distribution CloudFront, le certificat est distribué sur tous les emplacements périphériques pour la classe de prix de la distribution CloudFront.
  • Une fois que vous avez validé votre certificat ACM à l'aide de la validation DNS ou de la validation par e-mail, assurez-vous que le statut du certificat affiche Issued (Émis). L'état doit être Issued (Émis) avant que vous ne puissiez attribuer le certificat à une distribution CloudFront.
  • Le certificat doit être un certificat RSA de 2 048 bits ou moins. Bien qu'ACM prenne en charge des certificats RSA de 1 024 à 4 096 bits, les services comme CloudFront qui sont intégrés à ACM prennent en charge des certificats RSA d'un maximum de 2 048 bits.
  • Pour les certificats importés, assurez-vous qu'ils respectent les conditions requises pour l'importation d'un certificat.

Si vous utilisez un certificat importé dans IAM, vérifiez le chemin d'accès CloudFront

Lorsque vous importez votre certificat SSL dans IAM, fournissez le chemin d'accès correct afin que CloudFront puisse utiliser le certificat. Exécutez la commande de l'interface de la ligne de commande AWS (AWS CLI) suivante pour charger votre certificat avec un chemin d'accès CloudFront spécifié :

Remarque : avant d'exécuter cette commande, assurez-vous de remplacer toutes les valeurs par les détails de votre certificat et de votre distribution CloudFront.

aws iam upload-server-certificate --server-certificate-name CertificateName
--certificate-body file://public_key_certificate_file --private-key file://privatekey.pem 
--certificate-chain file://certificate_chain_file --path /cloudfront/DistributionName/

Remarque : si vous recevez des erreurs lors de l'exécution des commandes AWS CLI, assurez-vous que vous utilisez la version la plus récente de l'AWS CLI. Si vous n'avez pas chargé votre certificat avec le chemin d'accès CloudFront, exécutez cette commande pour mettre à jour votre certificat avec le chemin d'accès :

aws iam update-server-certificate --server-certificate-name CertificateName 
--new-path /cloudfront/DistributionName/

Remarque : une fois que vous avez ajouté un certificat à une distribution CloudFront, l'état de la distribution passe de Deployed (Déployée) à In Progress (En cours). L'état de la distribution redevient Deployed (Déployée) lorsque la modification est déployée sur tous les emplacements périphériques CloudFront. Le temps de déploiement classique est de 5 minutes.

Vérifiez que vous disposez des autorisations requises lors de l'attribution d'un certificat ACM ou IAM à la distribution CloudFront

L'utilisateur ou le rôle IAM que vous utilisez pour attribuer le certificat doit disposer au minimum des autorisations suivantes :

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "acm:ListCertificates",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "cloudfront:ListDistributions",
                "cloudfront:ListStreamingDistributions"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "cloudfront:List*",
                "cloudfront:Get*",
                "cloudfront:Update*"
            ],
            "Resource": "arn:aws:cloudfront::account-id:distribution/distribution-id"
        },
        {
            "Effect": "Allow",
            "Action": "iam:ListServerCertificates",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:GetServerCertificate",
                "iam:UpdateServerCertificate"
            ],
            "Resource": "arn:aws:iam::account-id:server-certificate/certificate-name-with-path"
        }
    ]
}

Informations connexes

Comment résoudre l'erreur exception « InvalidViewerCertificate » lors de la création ou de la mise à jour d'une distribution CloudFront ?

Exigences relatives à l'utilisation de certificats SSL/TLS avec CloudFront

AWS OFFICIEL
AWS OFFICIELA mis à jour il y a un an