对云端有点困惑，为什么我的 CNAME 证书不起作用答案

【问题标题】：Bit confused with cloudfront and why my cert for the CNAME is not working对云端有点困惑，为什么我的 CNAME 证书不起作用
【发布时间】：2019-04-02 20:55:38
【问题描述】：

设置 CloudFront 分配后，我在主站点上收到此消息。我为cdn.example.com 创建了一个证书，选择自定义并输入cdn.example.com 以用于HTTPS。

我在我的 DNS 配置中为 cdn.example.com 创建了一个 CNAME，并按照 AWS 的要求添加了验证记录。证书显示为已颁发并经过验证。

    Failed to load resource: The certificate for this server is invalid. You might be connecting to a server that is pretending to be “cdn.example.com”, which could put your confidential information at risk.

没有加载任何图像，并且网站没有按应有的方式呈现。如果我使用 cloudfront url（即 d12345.cloudfront.net），一切正常。除了cdn.example.com之外，我还需要在我的证书中添加一个SAN，例如主域（即example.com）吗？如果是这样，那它是如何工作的，因为我已经为我的 www.example.com 和 example.com 使用了来自 Let's Encrypt 的 SSL 证书。

我正在使用 WordPress 和 wpfastestcache 将 CloudFront 与网站集成，其中我指定了 cdn.example.com 并将来源指定为 example.com。

【问题讨论】：

能否提供实际域名？这不是一个明显的解释问题，检查 CloudFront 正在使用的证书会很有帮助。
嗨，迈克尔，它的“grabaguru.com”。
看看发生了什么，我认为您的 ACM 证书实际上并未附加到您的 CloudFront 分配中。检查docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/… ...您希望选择“自定义 SSL 证书”和“仅支持服务器名称指示 (SNI) 的客户端”，并在此处选择 ACM 证书。
我又看了一眼，似乎我使用了默认的 cloudfront ssl 证书。我猜是在 certstore 中请求 SSL 证书的过程中，并在等待它验证的同时将其留在了那里，并且再也没有费心将其置于自定义状态。感谢您的帮助迈克尔，非常感谢。

标签： ssl amazon-cloudfront

【解决方案1】：

这个问题令人困惑，因为它似乎描述了一种非常不可能的情况。带有 ACM 新证书的新配置 CloudFront 分配如何提供无效证书？

事实上，我被“有用的”浏览器错误消息的一部分分散了注意力，“你可能正在连接到一个伪装成...的服务器”我错误地认为这意味着证书中的主机名是正确的（“假装是”），但证书由于其他原因无效。

事实证明，提供的证书是默认的通用*.cloudfront.net 证书，因此证书中的主机名与自定义域名不匹配。

在 ACM 中创建证书后，需要将其与 CloudFront 分配相关联，如 https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-values-specify.html#DownloadDistValuesSSLCertificate 所述。

在 ACM 控制台中可以观察到问题性质的另一个提示。在那里，证书将显示In Use? No。

正在使用中？ – ACM 证书是否与 Elastic Load Balancing 或 CloudFront 等 AWS 服务主动关联。该值可以是 No 或 Yes。

https://docs.aws.amazon.com/acm/latest/userguide/gs-acm-list.html#gs-acm-list-console

【讨论】：

不能说使用 cloudfront 确实提高了我网站的速度（尽管它提高了我在 gtmetrix 上的分数）。可以肯定的是，不使用的速度最终快了一秒。也许我需要等一会儿？