CloudFront ディストリビューションを作成または更新するときの「InvalidViewerCertificate」エラー例外の解決方法を教えてください。

解決方法

表示されるエラーメッセージの解決手順に従います。

「The specified SSL certificate doesn't exist, isn't in us-east-1 region, isn't valid, or doesn't include a valid certificate chain. (指定された SSL 証明書が存在しない、us-east-1 リージョンにない、有効でない、または有効な証明書チェーンが含まれていません。)」

このエラーメッセージは、AWS Certificate Manager (ACM) へのインポート、またはディストリビューションとの関連付けに関して、証明書が以下の要件の 1 つ以上を満たしていないことを示しています。

• 証明書は、米国東部 (バージニア北部) リージョンにインポートされる必要があります。
• 証明書は、2,048 ビット以下でなければなりません。
• 証明書を、パスワード保護してはなりません。
• 証明書は、PEM エンコードされている必要があります。

インポートした証明書と証明書チェーンを CloudFront ディストリビューションに関連付けるには、これらの要件を満たしていることを確認する必要があります。または、米国東部 (バージニア北部) リージョンで ACM に公開証明書を要求して、要件を満たすこともできます。次に、新たに要求した証明書をディストリビューションに関連付けることができます。

「To add an alternate domain name (CNAME) to a CloudFront distribution, you must attach a trusted certificate that validates your authorization to use the domain name. (CloudFront ディストリビューションに代替ドメイン名 (CNAME) を追加するには、ドメイン名を使用するための承認を検証する信頼できる証明書をアタッチする必要があります。)」

このエラーメッセージは、ディストリビューションの代替ドメイン名 (CNAME) が、指定した証明書のサブジェクトの別名 (SAN) でカバーされていないことを示しています。ACM を使用して公開証明書を要求することもできますし、認証局 (CA) に連絡してディストリビューションの代替ドメイン名をカバーする更新された証明書を要求することもできます。

「The certificate that is attached to your distribution has too many certificates in the certificate chain. (ディストリビューションにアタッチされている証明書の証明書チェーンに含まれる証明書が多すぎます。)」

このエラーメッセージは、チェーン内の証明書の数が最大値の 5 を超えていることを示しています。5 つ以下の証明書を含む新しい証明書チェーンが必要です。現在の認証局 (CA) がこれをサポートしていない場合は、ACM を使用して無料で有効な証明書を発行できます。

「The certificate that is attached to your distribution has one or more expired certificates in the certificate chain.Make sure that each certificate in the chain is valid for the current date by reviewing the Not Valid After field. (ディストリビューションにアタッチされている証明書は、証明書チェーン内に有効期限が切れた証明書が 1 つ以上あります。[有効期限] フィールドを確認して、チェーン内の各証明書が現在の日付で有効であることを確認します。)」

このエラーメッセージは、CloudFront が使用しようとしている証明書で 1 つ以上の証明書チェーンが期限切れになっていることを示しています。認証局 (CA) から適切なチェーンファイルをダウンロードし、証明書とチェーンファイルを ACM または AWS Identity and Access Management (IAM) に再インポートします。その後、リクエストを再試行します。現在の CA はこの機能をサポートしていないので、無料で有効な証明書を発行するために ACM を使用できます。

「The certificate that is attached to your distribution has one or more certificates in the certificate chain that aren't valid yet.Make sure that each certificate in the chain is valid for the current date by reviewing the Not Valid Before field. (ディストリビューションにアタッチされている証明書の証明書チェーンに、まだ有効ではない証明書が 1 つ以上あります。[有効期限] フィールドを確認して、チェーン内の各証明書が現在の日付に対して有効であることを確認します。)」

このエラーメッセージは、CloudFront が使用しようとしている証明書で、1 つ以上の証明書チェーンがまだ有効ではないことを示しています。これは、証明書の開始日が将来であるため、証明書がまだ有効ではないことを意味します。認証局 (CA) から適切なチェーンファイルをダウンロードし、証明書とチェーンファイルを ACM または IAM に再インポートします。その後、リクエストを再試行します。現在の CA はこの機能をサポートしていないので、無料で有効な証明書を発行するために ACM を使用できます。

「The certificate that is attached to your distribution was not issued by a trusted Certificate Authority. (ディストリビューションにアタッチされている証明書は、信頼できる認証機関から発行されたものではありません。)」

このエラーメッセージは、証明書が信頼できる認証局 (CA) によって発行されたものではないことを示しています。CloudFront 用に信頼できる CA から証明書を発行して、代替ドメイン名 (CNAME) を使用できるようにします。現在の CA はこの機能をサポートしていないので、無料で有効な証明書を発行するために ACM を使用できます。

注意: 自己署名証明書はサポートされていません。

「The certificate that is attached to your distribution has a value in the SAN field that is not correctly formatted. (ディストリビューションにアタッチされている証明書の SAN フィールドの値が正しくフォーマットされていません。)」

このエラーメッセージは、サブジェクトの別名 (SAN) が正しくフォーマットされていないことを示しています。CloudFront では、各エントリは完全修飾ドメイン名 (FQDN) を含む DNS 名またはサーバーの IP アドレスのいずれかである必要があります。ワイルドカードエントリは有効ですが、ワイルドカードよりも上位または下位レベルの代替ドメイン名 (CNAME) を追加することはできません。現在の認証局 (CA) がこれをサポートしていない場合は、ACM を使用して無料で有効な証明書を発行できます。

「The certificate that you specified doesn't cover the alternate domain name (CNAME) that you're trying to add.」(指定した証明書は、追加しようとしている代替ドメイン名 (CNAME) をカバーしていません。)

このエラーメッセージは、ディストリビューションに関連付けようとしている 1 つ以上の代替ドメイン名 (CNAME) が、CreateDistribution または UpdateDistribution の API 呼び出しで提供される証明書のサブジェクトの別名 (SAN) に含まれていないことを示しています。API 呼び出しで正しい証明書を提供していることを確認します。

「CloudFront encountered an internal error.Please try again. (CloudFront で内部エラーが発生しました。もう一度お試しください。)」

このエラーメッセージは、CreateDistribution または UpdateDistribution の API 呼び出しを発行するときに内部的な問題があったことを示しています。後で、API 呼び出しを再試行することをお勧めします。このエラーが長期間続く場合は、AWS サービスヘルスダッシュボードで継続的な問題を確認してください。

「The specified SSL certificate doesn't exist, isn't in us-east-1 region, isn't valid, or doesn't include a valid certificate chain. (指定された SSL 証明書が存在しない、us-east-1 リージョンにない、有効でない、または有効な証明書チェーンが含まれていません。)」

このエラーメッセージは、ユーザーまたはロールのポリシー評価で AWS KMS の明示的な拒否ステートメントがある場合に発生する可能性があります。このエラーは、次の AWS KMS アクションのいずれかが明示的に拒否された場合に最も一般的です。kms:DescribeKey、kms:CreateGrant、または kms:*。

これらのポリシーは、ユーザーまたはロールのポリシー評価の任意の場所にあります。たとえば、ID ベースのポリシー、サービスコントロールポリシー (SCP)、または権限の境界などです。詳細については、「単一アカウント内のポリシーの評価」を参照してください。

---