CloudFront'ta yeni bir dağıtım oluşturacağım . Zaten AWS CLI kullanarak AWS IAM'de SSL sertifikamı yükledim. Bu sertifika, yeni dağıtım sayfasındaki Özel SSL Sertifikası açılır menüsünde görünür ancak DEVRE DIŞI bırakılmıştır .
Birisi bana neden böyle olduğunu söyleyebilir mi? Bu dağıtım için özel SSL sertifikamı nasıl seçebilirim?
Yanıtlar:
Yeni sertifikayı tüm düğümlerine yaymak AWS için tam bir gün sürdü. Ertesi gün AWS konsoluma giriş yaptığımda, sertifika açılır menüde göründü ve etkinleştirildi ve dağıtımı başarıyla yapılandırabildim.
Ayrıca, us-east-1sertifika isteğinde bulunurken (K.Virginia) öğesini seçtiğinizden emin olun ; şu anda onu destekleyen tek bölgedir (paketiniz / varlığınız başka bir bölgede olsa bile)
Yalnızca ABD Doğu (K.Virginia) Bölgesinde AWS Certificate Manager'da (ACM) kayıtlı sertifikalar CloudFront'ta kullanım için etkinleştirilecektir.
Sertifikayı IAM'ye aktarın veya diğer yorumlarda belirtildiği gibi us-east-1'de ACM aracılığıyla bir sertifika oluşturun.
Doğrulamanın tamamlanmasını, yani turuncu olmamasını bekleyin.
distribution settingsÖzel SSL seçeneğini ETKİN görmek için birkaç dakika bekleyin ve sayfayı yeniden yükleyin .
Aynı sorunu yaşadım, AWSkök hesabımı kullanmadım ve IAMyol doğru şekilde ayarlandı /cloudfront/.
Konsolda oturum açın ve şu URL'yi kullanın: https://console.aws.amazon.com/acm/home?region=us-east-1#/wizard/ ve çalışacaktır. Anahtar bölge.
Benzer sorunlar yaşadım ve sertifikayı AWS Certificate Manager'a aktarmak benim için daha sorunsuz çalıştı.
AWS Certificate Manager'ı bir S3 klasörüyle kullanıyorsanız sertifikayı ABD Doğu (K.Virginia) bölgesine aktardığınızdan emin olun. Bugün itibariyle, ACM'de S3'ü destekleyen tek bölge budur. Bkz. Https://docs.aws.amazon.com/acm/latest/userguide/acm-services.html
Sertifika verildikten sonra cloudfront ana sayfasına geri dönün ve sayfayı yenileyin. Benim için çalıştı
Şu anda görünmemesinin nedeni, muhtemelen ayarladığınız iam yolunun / cloudfront / [1] olmamasıdır. Varsayılan yolunu değiştirmek için sertifikayı yüklemek için kullandığınız aynı cli'yi kullanabilir / veya sertifikayı yeniden yükleyebilirsiniz. Bu sorunu çözmezse bana bildirin.
Sertifikayı bir AWS kök hesabı kullanarak yüklemediğinizden emin olun. Bir kök hesap kullanırsanız, sertifika görünür olacak, ancak onu seçemeyeceksiniz.
Bunun yerine, yeterli haklara sahip yeni bir IAM kullanıcısı oluşturun (yönetici ilkesi atanmış bir hesap kullandım) ve bu kimlik bilgilerini kullanarak sertifikayı yükleyin. Sertifika daha sonra mevcut olmalıdır.
Başka bir bölgede (us-east-1 değil) bir sertifika talep ediyorsanız, bölgenizi us-east-1 olarak ayarlayın ve yeniden bir sertifika isteyin. Ap-kuzeydoğu-2'de aynı alan adını talep ediyorum ve hemen çalışıyor.
Görüyorum ki zaten pek çok iyi cevap var ve bunlardan herhangi biri Custon SSL Certificatebölümünüzün devre dışı bırakılmasının nedeni olabilir . Sanırım başka bir tane buldum ve bu benim için buydu:
CloudFront içeren birçok "entegre hizmet" için yalnızca birkaç algoritma ve anahtar boyutu desteklenmektedir. RSA 4096 bit sertifikamı ve yeterli uzunlukta bir anahtarı kullanmaya çalışıyordum.
Şu an itibariyle "entegre hizmetler" ile kullanım için AWS yalnızca 1024 veya 2048 bitlik anahtar uzunluklarını kabul etmektedir.
Burada bahsedilen: https://docs.aws.amazon.com/acm/latest/userguide/import-certificate-prerequisites.html
Sertifika açılır listede görünmüyorsa, sertifika için tam ARN'yi kopyalayıp yapıştırabilirsiniz. ARN, kullanmak istediğiniz sertifikayı seçerek Sertifika Yöneticisi'nde bulunur.
AWS kök hesabı, CloudFront'ta özel bir sertifika seçemez.
Lütfen aşağıdaki politikayla yeni bir IAM kullanıcısı oluşturun ve bu kullanıcıyla CloudFront dağıtımı oluşturun ve özel bir SSL sertifikası seçebilirsiniz.
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": ["*"],
"Resource": ["*"]
}]
}