0

Wir verwenden AWS CloudFront als unser CDN vor einer Apache-Website, die auf einem EC2-Server läuft. Die Website verwendet SSL (https), und CloudFront ist für die Verwendung des standardmäßigen CloudFront-Zertifikats konfiguriert. Daher lädt unsere Anwendung statische Ressourcen mithilfe von https://xxxxxxcloudfront.net/path/to/asset statt https://ourdomain.com/path/to/asset.Warum liefert AWS CloudFront keine Assets mehr, nachdem ich ein abgelaufenes SSL-Zertifikat aktualisiert habe?

Unser SSL-Zertifikat, herausgegeben von Go Daddy, ist gestern abgelaufen. Nach der Installation eines neuen Zertifikats auf dem Webserver scheint CloudFront keine Assets mehr zu liefern. Es gibt einfach einen 502-Fehler mit der Nachricht CloudFront wasn't able to connect to the origin.

Die Apache-Logs scheinen keine Probleme mit dem neuen Zertifikat anzuzeigen, wenn ich die Seite besuche kann ich das kleine grüne Schloss-Symbol sehen und ich sehe keine mehr Warnungen über ein ungültiges Zertifikat. Wenn ich außerdem versuche, die Assets direkt von unserem Webserver unter Verwendung von https://ourdomain.com/path/to/asset anstelle der CloudFront-URL zu laden, scheinen die Assets ohne Probleme geladen zu werden.

Ich erinnere mich nicht, etwas mit CloudFront zu tun, als wir das letzte Mal ein Zertifikat ausgetauscht haben. Gibt es etwas, das in CloudFront aktualisiert werden muss, wenn das SSL-Zertifikat des Webservers aktualisiert wird? Irgendwelche Tipps, worauf Sie achten sollten?

+0

Haben Sie den CLoudfront-Cache ungültig gemacht, nachdem Sie das SSL-Zertifikat aktualisiert haben? – error2007s

+0

Angenommen, Sie haben das getan, wie @ error2007s andeutet, wenn Sie immer noch Fehler bekommen, schlägt das vor, dass Ihr neues Zertifikat nicht richtig eingerichtet ist - ein Problem mit der Zwischenkette könnte beispielsweise gut genug sein, damit ein Browser aufleuchtet grüne Sperre, aber nicht für CloudFront, um der Site zu vertrauen. Oder Sie haben ein Thema oder SAN-bezogenes Problem, wenn sich etwas vom vorherigen Zertifikat geändert hat. Möglicherweise müssen Sie hier Ihren Endpunkt-Hostnamen für den Ursprung angeben. –

+0

Danke error2007s und Michael. Ich habe gerade die Objekte im Cache invalidiert und sehe immer noch das gleiche Problem. Der Ursprung ist employeensight.com. Eine Beispielseite mit Problemen ist https://employinsight.com/login/. –

Antwort

0

Ich konnte dieses Problem lösen!

Nach der Installation der Zertifikate von Go Daddy gab es ein Problem mit der Zwischenkette. Die Zertifikatskettendatei Go Daddy enthält standardmäßig den Root. CloudFront erkennt dies als Problem und stellt keine Verbindung zum Ursprung her. Ich habe die Zertifikatskette ohne Root heruntergeladen und installiert und alles hat wieder funktioniert.

Dank @ error2007s und @ michael-sqlbot für ihre Hilfe!