无法为云前端创建有效的 IAM SSL 证书

通过运行good ole

$ openssl req -nodes -newkey rsa:4096 -keyout example.key -out example.csr

这产生了一个例子。CSR和example.key

然后，我把它签了名，收到了4个。crt文件。我的域名。crt, 2个中间文件，和根文件。

从这个:http://docs.aws.amazon.com/IAM/latest/APIReference/API_UploadServerCertificate.html，我收集到Amazon希望我的私钥是PEM编码的，所以我运行

$ openssl rsa -in example.key -text > example.pem

Cloudfront也想要他们所谓的CertificateChain，从https://bryce.fisher-fleig.org/blog/setting-up-ssl-on-aws-cloudfront-and-s3/和http://docs.aws.amazon.com/IAM/latest/UserGuide/InstallCert.html#SampleCert，似乎该文件应该是2个中间证书连接在一起。我用文本编辑器创建了这个文件命名为example。crt。chain

最后，有了这些，我跑了

$ aws iam upload-server-certificate --server-certificate-name star-assets-example-com --certificate-body file://STAR_assets_example_com.crt --private-key file://example.pem --certificate-chain file://example.crt.chain --path /cloudfront/assets/

返回给我的"ServerCertificateMetadata"。最后，我转到Cloudfront控制台，并尝试将该证书设置为Cloudfront的"自定义SSL证书"。但是，它告诉我

AWS Error Code: InvalidViewerCertificate, AWS Error Message: The specified SSL certificate doesn't exist in the IAM certificate store, isn't valid, or doesn't include a valid certificate chain.

修改我已经试过了

1. 包括和不包括链中的根证书。都上传，但都不工作。
2. 我已经尝试从我的PEM文件的头部删除"模数"，"privateExponent"，"prime1"等，以便它只包含"-----BEGIN RSA私钥-----…-----END RSA PRIVATE KEY-----"之类的东西，就像AWS文章建议的那样。都上传，但都不工作。
3. 更改我的链文件中的证书顺序会导致上传工具出现无效错误。
4. 不包括证书链，但这显然违背了cloudfront说我需要的。
5. 使用我原来的例子。替换openssl rsa编码的PEM文件。这会从上传工具中产生错误。该文件的格式为"-----BEGIN PRIVATE KEY-----…"----- end私钥-----"