CloudFront 배포를 생성하거나 업데이트하는 동안 "InvalidViewerCertificate" 오류 예외를 해결하려면 어떻게 해야 합니까?

해결 방법

표시된 오류 메시지에 대한 해결 단계를 수행합니다.

"The specified SSL certificate doesn't exist, isn't in us-east-1 region, isn't valid, or doesn't include a valid certificate chain."

이 오류 메시지는 AWS Certificate Manager(ACM)로 인증서 가져오기 또는 배포와 연결하기 위한 다음 요구 사항 중 하나 이상을 충족하지 못함을 나타냅니다.

• 인증서를 미국 동부(버지니아 북부) 리전으로 가져와야 합니다.
• 인증서는 2,048비트 이하여야 합니다.
• 인증서는 암호로 보호되어야 합니다.
• 인증서는 PEM으로 인코딩되어야 합니다.

가져온 인증서 및 인증서 체인을 CloudFront 배포에 연결하려면 이 요구 사항을 충족하는지 확인해야 합니다. 아니면, 미국 동부(버지니아 북부) 리전의 ACM에서 퍼블릭 인증서를 요청하여 요구 사항을 충족할 수 있습니다. 그런 다음, 새로 요청된 인증서를 배포에 연결할 수 있습니다.

"To add an alternate domain name (CNAME) to a CloudFront distribution, you must attach a trusted certificate that validates your authorization to use the domain name."

이 오류 메시지는 배포의 대체 도메인 이름(CNAME)이 사용자가 제공한 인증서의 SAN(Subject Alternative Name) 범위에 포함되지 않음을 나타냅니다. ACM에서 퍼블릭 인증서를 요청하거나 배포에 대체 도메인 이름을 포함하는 업데이트된 인증서를 CA(인증 기관)에 요청할 수 있습니다.

"The certificate that is attached to your distribution has too many certificates in the certificate chain."

이 오류 메시지는 체인의 인증서 수가 최대값 5개를 초과함을 나타냅니다. 인증서가 5개 이하인 새 인증서 체인이 필요합니다. 현재 CA(인증 기관)가 이를 지원하지 않으면 ACM을 사용하여 유효한 무료 인증서를 발급할 수 있습니다.

"The certificate that is attached to your distribution has one or more expired certificates in the certificate chain. Make sure that each certificate in the chain is valid for the current date by reviewing the Not Valid After field."

이 오류 메시지는 CloudFront에서 사용하려는 인증서에서 하나 이상의 인증서 체인이 만료되었음을 나타냅니다. CA(인증 기관)에서 적절한 체인 파일을 다운로드하고 ACM 또는 AWS Identity and Access Management(IAM)로 인증서와 체인 파일을 다시 가져옵니다. 그런 다음, 요청을 다시 시도합니다. 현재 CA가 이를 지원하지 않으면 ACM을 사용하여 유효한 무료 인증서를 발급할 수 있습니다.

"The certificate that is attached to your distribution has one or more certificates in the certificate chain that aren't valid yet. Make sure that each certificate in the chain is valid for the current date by reviewing the Not Valid Before field."

이 오류 메시지는 CloudFront에서 사용하려는 인증서에서 하나 이상의 인증서 체인이 아직 유효하지 않음을 나타냅니다. 즉, 인증서의 시작일이 미래여서 인증서가 아직 유효하지 않음을 나타냅니다. CA(인증 기관)에서 적절한 체인 파일을 다운로드하고 ACM 또는 IAM으로 인증서와 체인 파일을 다시 가져옵니다. 그런 다음, 요청을 다시 시도합니다. 현재 CA가 이를 지원하지 않으면 ACM을 사용하여 유효한 무료 인증서를 발급할 수 있습니다.

"The certificate that is attached to your distribution was not issued by a trusted Certificate Authority."

이 오류 메시지는 신뢰할 수 있는 CA(인증 기관)에서 발급된 인증서가 아님을 나타냅니다. CloudFront에 대해 신뢰할 수 있는 CA에서 발급한 인증서를 통해 대체 도메인 이름(CNAME)을 사용할 수 있습니다. 현재 CA가 이를 지원하지 않으면 ACM을 사용하여 유효한 무료 인증서를 발급할 수 있습니다.

참고: 자체 서명된 인증서는 지원되지 않습니다.

"The certificate that is attached to your distribution has a value in the SAN field that is not correctly formatted."

이 오류 메시지는 SAN(Subject Alternative Name) 형식이 올바르지 않음을 나타냅니다. CloudFront에서는 각 항목이 FQDN(정규화된 도메인 이름) 또는 서버의 IP 주소를 포함하는 DNS 이름이어야 합니다. 와일드카드 항목은 유효하지만, 와일드카드보다 수준이 높거나 낮은 대체 도메인 이름(CNAME)은 추가할 수 없습니다. 현재 CA(인증 기관)가 이를 지원하지 않으면 ACM을 사용하여 유효한 무료 인증서를 발급할 수 있습니다.

"The certificate that you specified doesn't cover the alternate domain name (CNAME) that you're trying to add."

이 오류 메시지는 배포에 연결하려는 하나 이상의 대체 도메인 이름(CNAME)이 CreateDistribution 또는 UpdateDistribution API 호출에 제공된 인증서의 SAN(Subject Alternative Name)에 포함되지 않음을 나타냅니다. API 호출에서 올바른 인증서를 제공하는지 확인합니다.

"CloudFront encountered an internal error. Please try again."

이 오류 메시지는 CreateDistribution 또는 UpdateDistribution API 호출을 실행할 때 내부 문제가 있음을 나타냅니다. 모범 사례는, 나중에 API 호출을 재시도하는 것입니다. 이 오류가 장기적으로 계속되는 경우 현재 AWS 서비스 상태 대시보드에서 현재 진행 중인 문제를 확인합니다.

"The specified SSL certificate doesn't exist, isn't in us-east-1 region, isn't valid, or doesn't include a valid certificate chain."

이 오류 메시지는 사용자 또는 역할에 대한 정책 평가에 AWS KMS에 대한 명시적 거부 문이 있을 때 발생할 수 있습니다. 이 오류는 kms:DescribeKey, kms:CreateGrant 또는 kms:* 등의 AWS KMS 작업 중 하나라도 명시적으로 거부되는 경우 가장 흔하게 발생합니다.

이러한 정책은 사용자 또는 역할에 대한 정책 평가의 모든 위치에서 찾을 수 있습니다. ID 기반 정책, 서비스 제어 정책(SCPs) 또는 권한 경계를 예로 들 수 있습니다.. 자세한 내용은 단일 계정 내 정책 평가를 참조하십시오.

---