Comment résoudre l'exception d’erreur « InvalidViewerCertificate » lors de la création ou de la mise à jour d'une distribution CloudFront ?

Dernière mise à jour : 15/01/2021

Lors de la création ou de la mise à jour d'une distribution Amazon CloudFront, je reçois l’exception d’erreur « InvalidViewerCertificate ». Comment résoudre ce problème ?

Solution

Suivez les étapes de résolution pour le message d’erreur reçu :

« Le certificat SSL spécifié n'existe pas, n'est pas dans la région us-east-1, n'est pas valide ou n'inclut pas de chaîne de certificats valide. »

Ce message d'erreur indique que le certificat ne répond pas à une ou plusieurs des exigences suivantes pour l’importation dans AWS Certificate Manager (ACM), ou l’association à une distribution :

  • Le certificat doit être importé dans la région USA Est (Virginie du Nord).
  • Le certificat doit être de 2 048 bits maximum.
  • Le certificat ne doit pas être protégé par un mot de passe.
  • Le certificat doit être codé au format PEM.

Pour associer le certificat importé et la chaîne de certificats dans votre distribution CloudFront, vous devez être sûr qu'ils répondent à ces exigences. Sinon, vous pouvez demander un certificat fourni par ACM dans la région USA Est (Virginie du Nord) afin de répondre aux exigences. Ensuite, vous pouvez associer le certificat nouvellement demandé à votre distribution.

« Pour ajouter un nom de domaine alternatif (CNAME) à une distribution CloudFront, vous devez joindre un certificat de confiance qui valide votre autorisation d'utiliser le nom de domaine. »

Ce message d'erreur indique que les noms de domaine alternatifs (CNAME) de la distribution ne sont pas couverts par le SAN (Subject Alternative Name) du certificat que vous avez fourni. Vous pouvez demander un certificat public avec ACM ou vous pouvez contacter votre Autorité de certification (AC) pour obtenir un certificat qui couvre les noms de domaines alternatifs pour la distribution.

« Il y a trop de certificats dans la chaîne de certificats du certificat joint à votre distribution. »

Ce message d'erreur indique que le nombre de certificats dans la chaîne dépasse la valeur maximale de cinq. Vous avez besoin d'une nouvelle chaîne de certificats ne comptant pas plus de cinq certificats. Si votre Autorité de certification (AC) actuelle ne prend pas cela en charge, vous pouvez utiliser ACM pour émettre un certificat valide.

« Il y a un ou plusieurs certificats expirés dans la chaîne de certificats du certificat joint à votre distribution. Assurez-vous que chaque certificat de la chaîne est valide pour la date actuelle en consultant le champ Not Valid After (Non valide après). »

Ce message d'erreur indique qu'une ou plusieurs des chaînes de certificats ont expiré dans le certificat que CloudFront tente d'utiliser. Téléchargez les fichiers de chaîne appropriés à partir de votre autorité de certification (AC) et importez de nouveau votre certificat et vos fichiers de chaîne vers ACM ou AWS Identity and Access Management (IAM). Ensuite, renouvelez votre demande. Si votre AC ne prend pas cela en charge, vous pouvez utiliser ACM pour émettre un certificat valide gratuit.

« Il y a un ou plusieurs certificats qui ne sont pas encore valides dans la chaîne de certificats du certificat joint à votre distribution. Assurez-vous que chaque certificat de la chaîne est valide à la d'aujourd'hui en consultant le champ Not Valid Before (Non valide avant). »

Ce message d'erreur indique qu'une ou plusieurs des chaînes de certificats ne sont pas encore valides dans le certificat que CloudFront tente d'utiliser. Cela signifie que la date de début du certificat est dans le futur, et c'est la raison pour laquelle le certificat n'est pas valide. Téléchargez les fichiers de chaîne appropriés à partir de votre Autorité de certification (AC) et importez de nouveau votre certificat et vos fichiers de chaîne vers ACM ou IAM. Ensuite, renouvelez votre demande. Si votre AC ne prend pas cela en charge, vous pouvez utiliser ACM pour émettre un certificat valide gratuit.

« Le certificat joint à votre distribution n'a pas été émis par une Autorité de certification approuvée. »

Ce message d'erreur indique que le certificat n'a pas été émis par une Autorité de certification (AC) approuvée. Obtenez un certificat auprès d'une Autorité de certification approuvée pour pouvoir utiliser un nom de domaine alternatif (CNAME). Si votre AC ne prend pas cela en charge, vous pouvez utiliser ACM pour émettre un certificat valide gratuit.

Remarque : les certificats auto-signés ne sont pas pris en charge.

« Le certificat joint à votre distribution a une valeur dans le champ SAN qui n'est pas correctement formatée. »

Ce message d'erreur indique que le SAN (Subject Alternative Name) n'est pas correctement formaté. CloudFront exige que chaque entrée soit un nom DNS contenant un nom de domaine complet ((FQDN) ou nom de domaine complètement qualifié) ou une adresse IP d'un serveur. Les entrées génériques sont valides, mais vous ne pouvez pas ajouter d'autres noms de domaine (CNAME) dont les niveaux sont supérieurs ou inférieurs au caractère générique. Si votre autorité de certification (AC) actuelle ne prend pas cela en charge, vous pouvez utiliser ACM pour émettre un certificat valide.

« Le certificat que vous avez spécifié ne couvre pas le nom de domaine alternatif (CNAME) que vous tentez d'ajouter. »

Ce message d'erreur indique qu'un ou plusieurs des noms de domaine alternatifs (CNAME) que vous voulez associer à votre distribution ne sont pas inclus dans le SAN (Subject Alternative Name) du certificat fourni dans les appels d’API UpdateDistribution ou CreateDistribution. Vérifiez que vous avez fourni le bon certificat dans l'appel d'API.

« CloudFront a rencontré une erreur interne. Veuillez réessayer. »

Ce message d'erreur indique qu'il y a eu un problème interne lors de l'émission de l’appel d’API UpdateDistribution ou CreateDistribution. Une bonne pratique consiste à réessayer d'effectuer l'appel d'API ultérieurement. Si cette erreur persiste pendant une période prolongée, consultez le AWS Service Health Dashboard pour rechercher les problèmes possibles.


Cet article vous a-t-il été utile ?


Besoin d'aide pour une question technique ou de facturation ?