Субдомен в CloudFront не работает (сертификат не принят)

Question

• В Cert Manager у меня есть действующий сертификат, который включает домен * .example.com.
• В CloudFront у меня есть дистрибутив с включенным перенаправлением HTTP на HTTPS и пустым полем CNAME.
• Когда я редактирую дистрибутив и ввожу staging.example.com в поле CNAME и выбираю сертификат, я получаю следующую ошибку:

com.amazonaws.services.cloudfront.model.InvalidViewerCertificateException: The certificate that is attached to your distribution doesn't cover the alternate domain name (CNAME) that you're trying to add. For more details, see: https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/CNAMEs.html#alternate-domain-names-requirements (Service: AmazonCloudFront; Status Code: 400; Error Code: InvalidViewerCertificate; Request ID: 8406d8d5-65c3-11e9-afc0-65457a0a2bea)

Я что-то упустил?Другой дистрибутив для домена верхнего уровня работает нормально с тем же сертификатом.

Answer 1

Разобрался.

Сертификат создан не в том регионе. Сертификаты, которые будут использоваться в дистрибутиве CloudFront, должны быть сгенерированы на us-east-1 (Вирджиния).

Answer 2

Убедитесь, что вы пытаетесь заставить *. соответствовать только одному поддомену. См. подстановочный символ ssl на субдомене

То есть, *.example.com будет соответствовать sub1.example.com и sub2.example.com, но не будет sub2.sub1.example.com. Наконец, вы НЕ МОЖЕТЕ запросить сертификат для *.*.example.com. Чтобы соответствовать этому последнему случаю, вам нужно запросить *.sub1.example.com.