CloudFront 上的子域不起作用（不接受证书）答案

【问题标题】：Subdomain on CloudFront not working (certificate not accepted)CloudFront 上的子域不起作用（不接受证书）
【发布时间】：2019-09-12 15:41:04
【问题描述】：

在证书管理器中，我有一个有效的证书，其中包括 *.example.com 域。
在 CloudFront 中，我有一个启用了 HTTP 到 HTTPS 重定向且 CNAME 字段为空的分配。
当我编辑分发并在 CNAME 字段中输入 staging.example.com 并选择证书时，我收到以下错误：

com.amazonaws.services.cloudfront.model.InvalidViewerCertificateException: The certificate that is attached to your distribution doesn't cover the alternate domain name (CNAME) that you're trying to add. For more details, see: https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/CNAMEs.html#alternate-domain-names-requirements (Service: AmazonCloudFront; Status Code: 400; Error Code: InvalidViewerCertificate; Request ID: 8406d8d5-65c3-11e9-afc0-65457a0a2bea)

我错过了什么吗？顶级域的其他发行版使用相同的证书可以正常工作。

【问题讨论】：

我曾经遇到过完全相同的问题；我只是在生成证书时犯了一个错误，忘记包含替代/通配符 SAN。该错误也表明了这一点；该证书是一个有效的证书，但它不包括 staging.example.com 并因此失败。
将证书添加到分发中，然后保存更改，然后将子域添加为备用域名，然后再次保存更改。有什么区别吗？
根据错误信息，您拥有的证书不包括备用域名。因此，请确保您有一个带有通配符的证书以涵盖多个子域。原因标准证书仅涵盖 www.example.com 子域。
就我而言，我可以添加 www.example.com .. 它有效。但是当我尝试在 CloudFront 分发中添加 example.com 作为备用域时，它会触发错误，证书已使用通配符正确注册。

标签： amazon-web-services amazon-cloudfront

【解决方案1】：

确保您只尝试让 *. 匹配单个子域。见wildcard ssl on sub-subdomain

也就是说*.example.com会匹配sub1.example.com和sub2.example.com，但不会匹配sub2.sub1.example.com。最后，您不能为*.*.example.com 申请证书。为了匹配最后一种情况，您必须请求*.sub1.example.com。

【讨论】：

感谢您的回答，但我的证书中已经有了正确的通配符，请参阅我的问题的第一点。发现问题并在下面回答我的问题。

【解决方案2】：

想通了。

证书是在错误的区域生成的。 将在 CloudFront 分配上使用的证书必须在 us-east-1（弗吉尼亚）上生成。

【讨论】：