我正在尝试将自定义 SSL 证书与 Cloudfront 相关联。我使用证书、私钥和链将其上传到 IAM。我给了它/cloudfront的上传路径。
我还请求并获得了 AWS 的许可,可以在 Cloudfront 中使用自定义 SSL。
但是,当我在云端控制台中并尝试关联证书时,当我按下“是,编辑”按钮时出现以下错误。
“指定的查看器证书不存在或无效。” (检查附图)
我从 DNSimple 购买了通配符证书,并按照这些说明操作(https://devcenter.heroku.com/articles/ssl-certificate-dnsimple)
有任何想法如何前进吗?我可能错误地制作了我的证书,但我不知道如何调试它。我是否有可能正确地制作了我的证书,而我的 aws 帐户或 Cloudfront 配置有问题?
谢谢!
所以我发现了问题!
默认情况下,DNSimple 为您提供 2432 位密钥,该密钥大于 Amazon 允许的最大 2048 位大小。如果要测试密钥和证书的大小,请运行以下命令:
私钥:
openssl rsa -in private.key -text -noout
示例:私钥:(2048 位)
证书:
openssl x509 -in public.cert -text -noout
示例输出:公钥:(2048 位)
每个命令的输出都会告诉你它有多少位。如果您从 DNSimple 购买了 SSL 证书,您可以向他们发送消息,他们可以使用不同大小重新授权您的证书/密钥。
完成此操作后,将您的证书与您的 Cloudfront 发行版相关联应该可以工作。
也得到了这个错误,并且花费了比我想弄清楚它失败的原因更多的时间(超过 2048 的密钥大小,证书链等)。
通过 Terraform 创建分发时,我尝试使用 IAM 证书(指定iam_certificate_id)。在查看了用于创建分配的 AWS Web 界面后,没有输入 IAM 证书 ID 的选项,而且它似乎只允许 ACM 证书。现在是否已放弃对 IAM 证书的支持(AWS 控制台上似乎不可用)?
当使用 ACM 证书而不是 IAM 证书时,它对我来说效果很好。