Benutzerdefiniertes SSL-Zertifikat (in AWS IAM gespeichert) kann nicht ausgewählt werden

Ich werde eine neue Distribution bei CloudFront erstellen . Ich habe mein SSL-Zertifikat bereits bei AWS IAM mithilfe der AWS CLI hochgeladen. Dieses Zertifikat wird in der Dropdown-Liste Benutzerdefiniertes SSL-Zertifikat auf der neuen Verteilungsseite angezeigt, ist jedoch DEAKTIVIERT .

Kann mir jemand sagen warum es so ist? Wie wähle ich mein benutzerdefiniertes SSL-Zertifikat für diese Distribution aus?

AWS brauchte einen ganzen Tag, um das neue Zertifikat an alle Knoten weiterzugeben. Als ich mich am nächsten Tag bei meiner AWS-Konsole anmeldete, wurde das Zertifikat in der Dropdown-Liste angezeigt und war ebenfalls aktiviert. Ich konnte die Verteilung erfolgreich konfigurieren.

Stellen Sie außerdem sicher, dass Sie us-east-1(N. Virginia) auswählen, wenn Sie die Zertifikatanforderung stellen. Dies ist derzeit die einzige Region, die dies unterstützt (auch wenn sich Ihr Bucket / Asset in einer anderen Region befindet.)

Für die Verwendung in CloudFront werden nur Zertifikate aktiviert, die in AWS Certificate Manager (ACM) in der Region US East (N. Virginia) registriert sind

• Importieren Sie ein Zertifikat in IAM oder erstellen Sie eines über ACM in us-east-1, wie in den anderen Kommentaren erwähnt.

• Warten Sie, bis die Validierung abgeschlossen ist, dh nicht orange.

• Laden Sie die Bearbeitungsseite für die Cloudfront-Verteilungseinstellung.
• Wenn die Option Benutzerdefiniertes SSL ausgegraut ist, melden Sie sich von der Konsole ab und wieder an. Nach diesem Schritt wurde die ausgegraute Option für mich aktiviert. Ich stelle mir vor, dass es irgendwie zwischengespeichert wird und das Logout-Login es aktualisiert.

Warten Sie einfach einige Minuten und laden Sie die distribution settingsSeite neu, um die benutzerdefinierte SSL-Option AKTIVIERT anzuzeigen .

Ich hatte das gleiche Problem, habe mein AWSRoot-Konto nicht verwendet und der IAMPfad wurde korrekt eingestellt /cloudfront/.

Melden Sie sich bei der Konsole an und verwenden Sie diese URL: https://console.aws.amazon.com/acm/home?region=us-east-1#/wizard/. Es wird funktionieren. Der Schlüssel ist die Region.

Ich hatte ähnliche Probleme und es funktionierte reibungsloser, das Zertifikat in AWS Certificate Manager zu importieren.

Wenn Sie AWS Certificate Manager mit einem S3-Bucket verwenden, stellen Sie sicher, dass Sie das Zertifikat in die Region US East (N. Virginia) importieren. Bis heute ist dies die einzige Region in ACM, die S3 unterstützt. Siehe https://docs.aws.amazon.com/acm/latest/userguide/acm-services.html

Kehren Sie nach Ausstellung des Zertifikats zur Cloudfront-Homepage zurück und aktualisieren Sie die Seite. Es hat bei mir funktioniert

Der Grund, warum es jetzt nicht angezeigt wird, ist wahrscheinlich, dass der von Ihnen festgelegte iam-Pfad nicht / cloudfront / [1] ist. Sie können dieselbe CLI verwenden, mit der Sie das Zertifikat hochgeladen haben, um den Standardpfad von / zu ändern, oder Sie können das Zertifikat erneut hochladen. Lassen Sie mich wissen, wenn dies das Problem nicht behebt.

1. http://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/SecureConnections.html#CNAMEsAndHTTPS

Stellen Sie sicher, dass Sie das Zertifikat nicht mit einem AWS-Stammkonto hochladen. Wenn Sie ein Root-Konto verwenden, wird das Zertifikat angezeigt, Sie können es jedoch nicht auswählen.

Erstellen Sie stattdessen einen neuen IAM-Benutzer mit angemessenen Rechten (ich habe ein Konto mit einer zugewiesenen Verwaltungsrichtlinie verwendet) und laden Sie das Zertifikat mit diesen Anmeldeinformationen hoch. Das Zertifikat sollte dann verfügbar sein.

Wenn Sie ein Zertifikat in einer anderen Region anfordern (nicht us-east-1), setzen Sie Ihre Region auf us-east-1 und fordern Sie erneut ein Zertifikat an. Ich fordere nur den gleichen Domainnamen in ap-northeast-2 an und es funktioniert sofort.

Benutze das:

{
"Effect": "Allow",
"Action": [
    "iam:DeleteServerCertificate",
    "iam:UploadServerCertificate",
    "iam:ListServerCertificates",
    "iam:GetServerCertificate"
],
    "Resource": "*"
}

Ich sehe, dass es bereits viele gute Antworten gibt, und jede davon kann der Grund für Ihre sein Custon SSL Certificate Abschnitt deaktiviert ist. Ich glaube, ich habe gerade einen anderen gefunden und das war bei mir der Fall:

Für viele "integrierte Dienste", einschließlich CloudFront, werden nur wenige Algorithmen und Schlüsselgrößen unterstützt. Ich habe versucht, mein RSA 4096-Bit-Zertifikat und einen Schlüssel von ausreichender Länge zu verwenden.

Für die Verwendung mit den "integrierten Diensten" akzeptiert AWS derzeit nur Schlüssellängen von 1024 oder 2048 Bit.

Hier erwähnt: https://docs.aws.amazon.com/acm/latest/userguide/import-certificate-prerequisites.html

Wenn das Zertifikat nicht in der Dropdown-Liste angezeigt wird, können Sie die vollständige ARN für das Zertifikat kopieren und einfügen. Die ARN wird im Zertifikat-Manager gefunden, indem Sie das Zertifikat auswählen, das Sie verwenden möchten.

Das AWS-Stammkonto kann kein benutzerdefiniertes Zertifikat in CloudFront auswählen.

Erstellen Sie einen neuen IAM-Benutzer mit der folgenden Richtlinie und erstellen Sie mit diesem Benutzer eine CloudFront-Verteilung. Sie können dann ein benutzerdefiniertes SSL-Zertifikat auswählen.

{
  "Version": "2012-10-17",
  "Statement": [{
    "Effect": "Allow",
    "Action": ["*"],
    "Resource": ["*"]
  }]
}