Pourquoi ne puis-je pas trouver le certificat importé pour mon équilibreur de charge ou la distribution CloudFront?

Dernière mise à jour : 24/09/2020

J'ai demandé ou importé un certificat à l'aide d'AWS Certificate Manager (ACM). Je suis en train de configurer un équilibreur de charge ou une distribution Amazon CloudFront, mais le certificat est introuvable.

Brève description

Si vous n'avez pas de certificat établi pour votre nom de domaine, vous pouvez demander un certificat public à l'aide d'ACM. Pour utiliser un certificat tiers avec un équilibreur de charge, vous pouvez importer le certificat dans ACM ou charger un certificat sur AWS Identity and Access Management (IAM).

Important :

  • Il est recommandé d'utiliser IAM en tant que gestionnaire de certificat uniquement lorsque vous devez prendre en charge des connexions HTTPS dans une région qui n'est pas prise en charge par ACM. Pour plus d'informations, consultez Gestion des certificats de serveur dans IAM.
  • Les certificats ACM peuvent uniquement être utilisés avec des services intégrés à ACM.

Vous ne trouverez pas le certificat ACM ou certificat importé si :

  • le certificat importé dans ACM utilise un algorithme autre que RSA sur 1 024 bits ou RSA sur 2 048 bits ;
  • Le certificat ACM n'a pas été demandé dans la même région AWS que votre équilibreur de charge ou votre distribution CloudFront.

Solution

Le certificat importé dans ACM utilise des algorithmes autres que RSA sur 1024 bits ou RSA sur 2048 bits

Bien qu'ACM vous permette d'importer des certificats à l'aide d'un algorithme de clés RSA sur 4 096 bits et EC, ceux-ci ne peuvent pas être associés aux équilibreurs de charge via l'intégration à ACM. Les algorithmes de clé importés suivants peuvent être utilisés avec un Classic Load Balancer et un équilibreur de charge d'application :

Algorithme ACM (méthode préférée) IAM
RSA sur 1024 bits (RSA_1024) Oui Oui
RSA sur 2048 bits (RSA_2048) Oui Oui
RSA (jusqu'à 16384 bits)   Oui
Courbe elliptique (ECDSA)   Oui

Remarque : les Network Load Balancers n'autorisent pas les certificats avec des clés RSA supérieures à 2 048 bits ou des clés EC.

Pour installer un certificat SSL, suivez ces instructions pour votre type d'équilibreur de charge :

Si le certificat importé n'est pas pris en charge par ACM, suivez les instructions pour importer un certificat SSL vers IAM. Associez ensuite le certificat importé à l'aide de l'équilibreur de charge. Pour plus d'informations, consultez Téléchargement d'un certificat de serveur (AWS de l'API).

Pour les distributions CloudFront, les algorithmes de clé du certificat doivent être RSA sur 1 024 bits ou RSA sur 2 048 bits. Pour plus d'informations, consultez Size of the Public Key.

Pour installer le certificat SSL sur la distribution CloudFront, consultez Using HTTPS with CloudFront.

Le certificat ACM n'a pas été demandé dans la même région AWS que votre équilibreur de charge ou votre distribution CloudFront.

Les certificats ACM doivent être demandés ou importés dans la même région AWS que votre Classic Load Balancer ou équilibreur de charge d'application.

Pour utiliser les certificats ACM avec Amazon CloudFront, ceux-ci doivent être importés ou demandés dans la région USA Est (Virginie du Nord). Pour plus d'informations, consultez Région AWS dans laquelle vous demandez un certificat (pour AWS Certificate Manager).