Cloudfront 备用域名 InvalidViewerCertificateException

Question

我的设置

• EC2：应用程序
• 域名注册商：namecheap
• DNS：路线 53

我使用 EC2 托管我的应用程序，使用 AWS 路由 53 引导 url，并使用 cloudfront 为我的应用程序获取 static 文件。 现在云端正在使用不友好的域*.cloudfront.net 。

我在我的 EC2 中使用 certbot 来提供 SSL 连接。

当我尝试更改云端域名时，我使用 ACM（AWS 证书管理器）生成的Custom SSL Certificate 。 我遇到了错误：

com.amazonaws.services.cloudfront.model.InvalidViewerCertificateException: The certificate that is attached to your distribution doesn't cover the alternate domain name (CNAME) that you're trying to add. For more details, see: https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/CNAMEs.html#alternate-domain-names-requirements (Service: AmazonCloudFront; Status Code: 400; Error Code: InvalidViewerCertificate; Request ID: 2d39c685-bf17-4d24-9c4b-82955daa878f; Proxy: null)

ACM 证书是在 N.Virginia 生成的，这很好，因为我的 EC2 托管在那里。 我使用*.example.com生成了证书，并通过了验证。

我不知道如何解决这个问题。 有什么建议吗？

Answer 1

这将由您配置的 ACM 证书使用的无效域名引起。

因为生成的 ACM 证书是 *.example.com，所以只能使用 1 级深度子域。

为了进一步解释这一点：

• www.example.com 是 ACM 证书的有效子域
• foo.bar.example.com 不是 ACM 证书的有效子域
• example.com 对于此 ACM 证书无效，因为它是根域（并且未在 SSL 上引用）。

因为它是在 ACM 中生成的，所以只要满足以下条件，我们就可以验证该证书是否兼容。

要使 SSL 用于根域和子域，它必须同时包含 example.com 和 *.example.com 才能在 CloudFront 中正常工作。