Não é possível selecionar o certificado SSL personalizado (armazenado no AWS IAM)

96

Vou criar uma nova distribuição no CloudFront . Já carreguei meu certificado SSL no AWS IAM usando AWS CLI. Esse certificado aparece na lista suspensa Certificado SSL personalizado na nova página de distribuição, mas está DESATIVADO .

Alguém pode me dizer por que isso acontece? Como selecionar meu certificado SSL personalizado para esta distribuição?

ssl amazon-web-services amazon-cloudfront amazon-iam aws-cli theGeekster
fonte
você carregou o certificado usando a conta root?
mohamnag

Respostas:

123

Demorou um dia inteiro para a AWS propagar o novo certificado para todos os seus nós. No dia seguinte, quando fiz login em meu console AWS, o certificado apareceu no menu suspenso e também foi habilitado e pude configurar a distribuição com sucesso.

Além disso, certifique-se de selecionar us-east-1(N. Virginia) ao fazer a solicitação de certificado; é a única região que oferece suporte no momento (mesmo se seu intervalo / ativo estiver em outra região)

theGeekster
fonte
3
Estou
12
Refazer o certificado em N. Virginia resolveu meu problema. É estranho, certificado, na verdade, tem status de problema diferente em regiões diferentes ... lol
Neekey
3
Ao criar uma nova distribuição do CloudFront, a Amazon afirma especificamente "Você pode usar um certificado armazenado no AWS Certificate Manager (ACM) na região Leste dos EUA (N. Virgínia) ou pode usar um certificado armazenado no IAM."
Shea
6
De acordo com docs.aws.amazon.com/acm/latest/userguide/acm-services.html e aws.amazon.com/certificate-manager/faqs , "para usar um certificado ACM com o CloudFront, você deve solicitar ou importar o certificado na região Leste dos EUA (N. Virginia) ".
Big Pumpkin de
Criei um certificado usando a região N.Virginia em ACM e validação de DNS. Estava funcionando em 10 minutos.
Deepan Prabhu Babu de
38

Apenas os certificados registrados no AWS Certificate Manager (ACM) na região leste dos EUA (N. Virginia) serão habilitados para uso no CloudFront

Reinaldo Almeida
fonte
3
Bom que foi documentado em algum lugar: D
Baconbeastnz
27

  • Importe o certificado para o IAM ou crie um por meio do ACM em us-east-1, conforme mencionado nos outros comentários.

  • Aguarde a conclusão da validação, ou seja, não é laranja.

  • Carregue a página de edição de configuração de distribuição do cloudfront.
  • Se a opção Custom SSL estiver acinzentada, saia do console e faça login novamente. Após esta etapa, a opção acinzentada ganhou vida para mim. Imagino que seja armazenado em cache de alguma forma e o logout-login o atualize.
neo01124
fonte
2
O que?! É 2020 agora, na verdade ainda é o conserto.
y3sh
3
Sim, perdi uma hora da minha vida para descobrir que você precisa sair e fazer login ...
peter_v
Esta é a melhor resposta. Foi o logout / login que finalmente consertou isso para mim depois de registrar meu certificado ACM.
MillerMedia
19

Espere alguns minutos e recarregue a distribution settingspágina para ver a opção SSL personalizada ATIVADA .

Eu tive o mesmo problema, não usei minha AWSconta root e o IAMcaminho foi configurado corretamente para /cloudfront/.

Jonathan Maim
fonte
14

Eu tive problemas semelhantes e funcionou mais facilmente para mim importar o certificado para o AWS Certificate Manager.

Se você estiver usando o AWS Certificate Manager com um intervalo S3, certifique-se de importar o certificado para a região Leste dos EUA (N. Virgínia). A partir de hoje, essa é a única região no ACM que oferece suporte ao S3. Veja https://docs.aws.amazon.com/acm/latest/userguide/acm-services.html

Ryan Walls
fonte
2
Spot on! Esta é a solução para este problema - Obrigado Ryan
EdsonF
3
Essa é a solução! Link mais relevante: docs.aws.amazon.com/acm/latest/userguide/acm-regions.html : Para usar um certificado ACM com o Amazon CloudFront, você deve solicitar ou importar o certificado na região Leste dos EUA (Virgínia Norte) . Os certificados ACM nesta região que estão associados a uma distribuição do CloudFront são distribuídos para todos os locais geográficos configurados para essa distribuição.
Illagrenan
9

Volte para a página inicial do cloudfront após o certificado ser emitido e atualize a página. Funcionou para mim

MrAAAAaaaahhhhHHHHHH
fonte
1
Qual é uma situação constrangedora e quem sabe esta é a solução: D
Ariful Haque
5

O motivo pelo qual ele não está aparecendo agora é provavelmente que o caminho de IAM que você definiu não é / cloudfront / [1]. Você pode usar o mesmo CLI que usou para fazer upload do certificado para alterar o caminho padrão de / ou pode fazer upload do certificado novamente. Avise-me se isso não resolver o problema.

  1. http://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/SecureConnections.html#CNAMEsAndHTTPS
imperalix
fonte
4

Certifique-se de que você não está carregando o certificado usando uma conta raiz da AWS. Se você usar uma conta root, o certificado ficará visível, mas você não poderá selecioná-lo.

Em vez disso, crie um novo usuário IAM com direitos adequados (usei uma conta com uma política administrativa atribuída) e carregue o certificado usando essas credenciais. O certificado deve então estar disponível.

Kristopher Cargile
fonte
Isso funcionou para mim, criei o certificado como um usuário root, mas a configuração SSL personalizada foi desabilitada ao editar a distribuição, embora eu pudesse ver o certificado como uma opção no menu suspenso. Depois de criar um usuário administrador e entrar com essa conta, a opção não foi mais desativada.
Simon L. Brazell
3

Se você estiver solicitando um certificado em outra região (não us-east-1), defina sua região como us-east-1 e solicite um certificado novamente. Acabei de solicitar o mesmo nome de domínio no ap-northeast-2 e ele funciona imediatamente.

user1035957
fonte
1

Usa isto:

{
"Effect": "Allow",
"Action": [
    "iam:DeleteServerCertificate",
    "iam:UploadServerCertificate",
    "iam:ListServerCertificates",
    "iam:GetServerCertificate"
],
    "Resource": "*"
}
d.balu
fonte
1
Olá @ d.balu, poderia dar mais alguma explicação para a sua resposta?
toti08,
0

Vejo que já existem muitas respostas boas, e qualquer uma delas pode ser a razão de seu Custon SSL Certificate seção foi desativada. Acho que acabei de encontrar outro e este foi o meu caso:

Para muitos "serviços integrados", que inclui o CloudFront, apenas alguns algoritmos e tamanhos de chave são suportados. Eu estava tentando usar meu certificado RSA de 4096 bits e uma chave de comprimento adequado.

A partir de agora, para uso com os "serviços integrados", a AWS aceita apenas comprimentos de chave de 1024 ou 2048 bits.

Mencionado aqui: https://docs.aws.amazon.com/acm/latest/userguide/import-certificate-prerequisites.html

wiktus239
fonte
0

Se o certificado não estiver aparecendo na lista suspensa, você pode copiar e colar o ARN completo do certificado. O ARN é encontrado no Gerenciador de certificados, selecionando o certificado que você deseja usar.

user2531882
fonte
0

A conta raiz da AWS não consegue selecionar um certificado personalizado no CloudFront.

Crie um novo usuário IAM com a política abaixo e crie a distribuição do CloudFront com esse usuário e você pode selecionar um certificado SSL personalizado.

{
  "Version": "2012-10-17",
  "Statement": [{
    "Effect": "Allow",
    "Action": ["*"],
    "Resource": ["*"]
  }]
}
Subhash
fonte