Comment résoudre l'exception d’erreur « InvalidViewerCertificate » lors de la création ou de la mise à jour d'une distribution CloudFront ?

Date de la dernière mise à jour : 08/04/2019

Lors de la tentative de création ou de mise à jour d'une distribution Amazon CloudFront, je reçois une exception d’erreur « InvalidViewerCertificate ». Comment puis-je résoudre cette erreur ?

Résolution

Suivez les étapes de résolution pour le message d’erreur reçu :

« Le certificat SSL spécifié n'existe pas, n'est pas dans la région us-east-1, n'est pas valide ou n'inclut pas de chaîne de certificats valide. »

Ce message d'erreur indique que le certificat ne répond pas à une ou plusieurs des exigences suivantes pour l’importation dans AWS Certificate Manager (ACM), ou l’association à une distribution :

  • Le certificat doit être importé dans la région USA Est (Virginie du Nord).
  • Le certificat doit faire 2048 bits ou moins.
  • Le certificat ne doit pas être protégé par un mot de passe.
  • Le certificat doit être codé au format PEM.

Pour associer le certificat importé et la chaîne de certificats dans votre distribution CloudFront, vous devez être sûr qu'ils répondent à ces exigences. Sinon, vous pouvez demander un certificat fourni par ACM dans la région USA Est (Virginie du Nord) afin de répondre aux exigences. Ensuite, vous pouvez associer le certificat nouvellement demandé à votre distribution.

« Pour ajouter un nom de domaine alternatif (CNAME) à une distribution CloudFront, vous devez joindre un certificat de confiance qui valide votre autorisation d'utiliser le nom de domaine. »

Ce message d'erreur indique que les noms de domaine alternatifs (CNAME) de la distribution ne sont pas couverts par le SAN (Subject Alternative Name) du certificat que vous avez fourni. Vous pouvez demander un certificat public avec ACM ou vous pouvez contacter votre Autorité de certification (AC) pour obtenir un certificat qui couvre les noms de domaines alternatifs pour la distribution.

« Il y a trop de certificats dans la chaîne de certificats du certificat joint à votre distribution. »

Ce message d'erreur indique que le nombre de certificats dans la chaîne dépasse la valeur maximale de cinq. Vous avez besoin d'une nouvelle chaîne de certificats ne comptant pas plus de cinq certificats. Si votre Autorité de certification (AC) actuelle ne prend pas cela en charge, vous pouvez utiliser ACM pour émettre un certificat valide.

« Il y a un ou plusieurs certificats expirés dans la chaîne de certificats du certificat joint à votre distribution. Assurez-vous que chaque certificat de la chaîne est valide pour la date actuelle en consultant le champ Not Valid After (Non valide après). »

Ce message d'erreur indique qu'une ou plusieurs des chaînes de certificats ont expiré dans le certificat que CloudFront tente d'utiliser. Téléchargez les fichiers de la chaîne appropriée depuis votre Autorité de certification (AC) et importez de nouveau votre certificat et vos fichiers de la chaîne vers ACM ou AWS Identity and Access Management (IAM). Puis, tentez de relancer votre demande. Si votre AC ne prend pas cela en charge, vous pouvez utiliser ACM pour émettre un certificat valide gratuit.

« Il y a un ou plusieurs certificats qui ne sont pas encore valides dans la chaîne de certificats du certificat joint à votre distribution. Assurez-vous que chaque certificat de la chaîne est valide à la d'aujourd'hui en consultant le champ Not Valid Before (Non valide avant). »

Ce message d'erreur indique qu'une ou plusieurs des chaînes de certificats ne sont pas encore valides dans le certificat que CloudFront tente d'utiliser. Cela signifie que la date de début du certificat est à venir, c'est pourquoi le certificat n'est pas valide. Téléchargez les fichiers de la chaîne appropriée depuis votre Autorité de certification (AC) et importez de nouveau votre certificat et vos fichiers de la chaîne vers ACM ou IAM. Puis, tentez de relancer votre demande. Si votre AC ne prend pas cela en charge, vous pouvez utiliser ACM pour émettre un certificat valide gratuit.

« Le certificat joint à votre distribution n'a pas été émis par une Autorité de certification approuvée. »

Ce message d'erreur indique que le certificat n'a pas été émis par une Autorité de certification (AC) approuvée. Obtenez un certificat auprès d'une Autorité de certification approuvée pour pouvoir utiliser un nom de domaine alternatif (CNAME). Si votre AC ne prend pas cela en charge, vous pouvez utiliser ACM pour émettre un certificat valide gratuit.

Remarque : les certificats auto-signés ne sont pas pris en charge.

« Le certificat joint à votre distribution a une valeur dans le champ SAN qui n'est pas correctement formatée. »

Ce message d'erreur indique que le SAN (Subject Alternative Name) n'est pas correctement formaté. CloudFront exige que chaque entrée soit un nom DNS contenant un « fully qualified domain name » (FQDN, ou nom de domaine complètement qualifié) ou une adresse IP d'un serveur. Les entrées avec des caractères génériques sont valides. Si votre Autorité de certification (AC) actuelle ne prend pas cela en charge, vous pouvez utiliser ACM pour émettre un certificat valide.

« Le certificat que vous avez spécifié ne couvre pas le nom de domaine alternatif (CNAME) que vous tentez d'ajouter. »

Ce message d'erreur indique qu'un ou plusieurs des noms de domaine alternatifs (CNAME) que vous voulez associer à votre distribution ne sont pas inclus dans le SAN (Subject Alternative Name) du certificat fourni dans les appels d’API UpdateDistribution ou CreateDistribution. Vérifiez que vous avez fourni le bon certificat dans l'appel d'API.

« CloudFront a rencontré une erreur interne. Veuillez réessayer. »

Ce message d'erreur indique qu'il y a eu un problème interne lors de l'émission de l’appel d’API UpdateDistribution ou CreateDistribution. Une bonne pratique consiste à réessayer d'effectuer l'appel d'API ultérieurement. Si cette erreur persiste pendant une période prolongée, consultez le AWS Service Health Dashboard pour rechercher les problèmes en cours.


Cette page vous a-t-elle été utile ?

Cette page peut-elle être améliorée ?


Vous avez besoin d'aide ?