No se puede seleccionar el certificado SSL personalizado (almacenado en AWS IAM)

98

Voy a crear una nueva distribución en CloudFront . Ya he cargado mi certificado SSL en AWS IAM mediante AWS CLI. Ese certificado aparece en el menú desplegable Certificado SSL personalizado en la nueva página de distribución, pero está DESHABILITADO .

¿Alguien puede decirme por qué es así? ¿Cómo seleccionar mi certificado SSL personalizado para esta distribución?

theGeekster
fuente
¿Cargaste el certificado usando la cuenta raíz?
Mohamnag

Respuestas:

124

AWS tardó todo un día en propagar el nuevo certificado a todos sus nodos. Al día siguiente, cuando inicié sesión en mi consola de AWS, el certificado apareció en el menú desplegable y también se habilitó y pude configurar la distribución correctamente.

Además, asegúrese de seleccionar us-east-1(N. Virginia) cuando realice la solicitud de certificado; es la única región que lo admite en este momento (incluso si su depósito / activo está en otra región)

theGeekster
fuente
3
He
12
Rehacer el certificado en N. Virginia resolvió mi problema. Es extraño, en realidad tiene un estado de problema diferente en diferentes regiones ... jajaja
Neekey
3
Al crear una nueva distribución de CloudFront, Amazon establece específicamente "Puede usar un certificado almacenado en AWS Certificate Manager (ACM) en la región EE.UU.Este (Norte de Virginia), o puede usar un certificado almacenado en IAM".
Shea
6
De acuerdo con docs.aws.amazon.com/acm/latest/userguide/acm-services.html y aws.amazon.com/certificate-manager/faqs , "para usar un certificado ACM con CloudFront, debe solicitar o importar el certificado en la región de EE.UU. Este (Norte de Virginia) ".
Big Pumpkin
Creé un certificado usando la región de N.Virginia en ACM y validación de DNS. Funcionó en 10 minutos.
Deepan Prabhu Babu
39

Solo los certificados registrados en AWS Certificate Manager (ACM) en la región EE.UU.Este (Norte de Virginia) se habilitarán para su uso en CloudFront

Reinaldo Almeida
fuente
3
Es bueno que esté documentado en alguna parte: D
Baconbeastnz
28
  • Importe el certificado a IAM o cree uno a través de ACM en us-east-1 como se menciona en los otros comentarios.

  • Espere a que se complete la validación, es decir, no naranja.

  • Cargue la página de edición de la configuración de distribución de Cloudfront.
  • Si la opción SSL personalizado está atenuada, cierre la sesión de la consola y vuelva a iniciarla. Después de este paso, la opción atenuada se activó para mí. Me imagino que se almacenará en caché de alguna manera y que el logout-login lo actualizará.
neo01124
fuente
3
¡¿Qué?! Es 2020 ahora, esto en realidad sigue siendo la solución.
y3sh
3
Sí, perdí una hora de mi vida para
darme
Esta es la mejor respuesta. Fue cerrar sesión / iniciar sesión lo que finalmente solucionó esto después de registrar mi certificado ACM.
MillerMedia
19

Espere unos minutos y vuelva a cargar la distribution settingspágina para ver la opción SSL personalizada ACTIVADA .

Tuve el mismo problema, no usé mi AWScuenta raíz y la IAMruta estaba configurada correctamente /cloudfront/.

Jonathan Mutilar
fuente
14

Tuve problemas similares y funcionó mejor para mí importar el certificado en AWS Certificate Manager.

Si utiliza AWS Certificate Manager con un bucket de S3, asegúrese de importar el certificado a la región de EE.UU.Este (Norte de Virginia). A día de hoy, esa es la única región de ACM que admite S3. Consulte https://docs.aws.amazon.com/acm/latest/userguide/acm-services.html

Ryan Walls
fuente
2
¡Correcto! Esta es la solución para este problema - Gracias Ryan
EdsonF
3
¡Ésta es la solución! Enlace más relevante: docs.aws.amazon.com/acm/latest/userguide/acm-regions.html : Para usar un certificado ACM con Amazon CloudFront, debe solicitar o importar el certificado en la región de
illagrenan
11

Vuelva a la página de inicio de Cloudfront después de que se emita el certificado y actualice la página. Funcionó para mi

MrAAAAaaaahhhhHHHHHH
fuente
2
En una situación embarazosa y quién sabría que esta es la solución: D
Ariful Haque
4

Asegúrese de no cargar el certificado con una cuenta raíz de AWS. Si usa una cuenta raíz, el certificado será visible pero no podrá seleccionarlo.

En su lugar, cree un nuevo usuario de IAM con los derechos adecuados (utilicé una cuenta con una política administrativa asignada) y cargue el certificado con esas credenciales. Entonces el certificado debería estar disponible.

Kristopher Cargile
fuente
Esto funcionó para mí, creé el certificado como usuario raíz, pero la configuración de SSL personalizada se deshabilitó al editar la distribución, aunque podía ver el certificado como una opción en el menú desplegable. Después de crear un usuario administrador e iniciar sesión con esa cuenta, la opción ya no estaba deshabilitada.
Simon L. Brazell
3

Si solicita un certificado en otra región (no us-east-1), configure su región en us-east-1 y solicite un certificado nuevamente. Solo solicito el mismo nombre de dominio en ap-noreste-2 y funciona de inmediato.

usuario1035957
fuente
1

Utilizar este:

{
"Effect": "Allow",
"Action": [
    "iam:DeleteServerCertificate",
    "iam:UploadServerCertificate",
    "iam:ListServerCertificates",
    "iam:GetServerCertificate"
],
    "Resource": "*"
}
d.balu
fuente
1
Hola @ d.balu, ¿podrías dar una explicación más a tu respuesta?
toti08
0

Veo que ya hay muchas buenas respuestas, y cualquiera de ellas puede ser la razón por la que su Custon SSL Certificatesección está deshabilitada. Creo que acabo de encontrar otro y este fue mi caso:

Para muchos "servicios integrados", que incluyen CloudFront, solo se admiten algunos algoritmos y tamaños de clave. Estaba intentando utilizar mi certificado RSA de 4096 bits y una clave de longitud adecuada.

En este momento, para el uso con los "servicios integrados", AWS solo acepta longitudes de clave de 1024 o 2048 bits.

Mencionado aquí: https://docs.aws.amazon.com/acm/latest/userguide/import-certificate-prerequisites.html

wiktus239
fuente
0

Si el certificado no aparece en la lista desplegable, puede copiar y pegar el ARN completo del certificado. El ARN se encuentra en el Administrador de certificados seleccionando el certificado que desea utilizar.

usuario2531882
fuente
0

La cuenta raíz de AWS no puede seleccionar un certificado personalizado en CloudFront.

Cree un nuevo usuario de IAM con la siguiente política y cree una distribución de CloudFront con ese usuario y podrá seleccionar un certificado SSL personalizado.

{
  "Version": "2012-10-17",
  "Statement": [{
    "Effect": "Allow",
    "Action": ["*"],
    "Resource": ["*"]
  }]
}
Subhash
fuente