Cloudfront 備用域名 InvalidViewerCertificateException

Question

我的設置

• EC2：應用程序
• 域名注冊商：namecheap
• DNS：路線 53

我使用 EC2 托管我的應用程序，使用 AWS 路由 53 引導 url，並使用 cloudfront 為我的應用程序獲取 static 文件。 現在雲端正在使用不友好的域*.cloudfront.net 。

我在我的 EC2 中使用 certbot 來提供 SSL 連接。

當我嘗試更改雲端域名時，我使用 ACM（AWS 證書管理器）生成的Custom SSL Certificate 。 我遇到了錯誤：

com.amazonaws.services.cloudfront.model.InvalidViewerCertificateException: The certificate that is attached to your distribution doesn't cover the alternate domain name (CNAME) that you're trying to add. For more details, see: https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/CNAMEs.html#alternate-domain-names-requirements (Service: AmazonCloudFront; Status Code: 400; Error Code: InvalidViewerCertificate; Request ID: 2d39c685-bf17-4d24-9c4b-82955daa878f; Proxy: null)

ACM 證書是在 N.Virginia 生成的，這很好，因為我的 EC2 托管在那里。 我使用*.example.com生成了證書，並通過了驗證。

我不知道如何解決這個問題。 有什么建議嗎？

Answer 1

這將由您配置的 ACM 證書使用的無效域名引起。

因為生成的 ACM 證書是 *.example.com，所以只能使用 1 級深度子域。

為了進一步解釋這一點：

• www.example.com 是 ACM 證書的有效子域
• foo.bar.example.com 不是 ACM 證書的有效子域
• example.com 對於此 ACM 證書無效，因為它是根域（並且未在 SSL 上引用）。

因為它是在 ACM 中生成的，所以只要滿足以下條件，我們就可以驗證該證書是否兼容。

要使 SSL 用於根域和子域，它必須同時包含 example.com 和 *.example.com 才能在 CloudFront 中正常工作。