您的证书可能有效，但可能对 CloudFront 无效。错误消息没有指出的是，您可以在the docs for uploading a certificate中找到隐藏的内容：

**注意：**如果您要上载专门用于Amazon CloudFront发行版的服务器证书，则必须使用path参数指定路径。该路径必须以/cloudfront开始，并且必须包含一个尾随斜杠（例如，/cloudfront/test/）。

因此，请确保在aws iam upload-server-certificate命令中添加--path "/cloudfront/"。

我遇到了这个问题，这是因为我的构建系统不小心在Windows上切换了一个斜线/（但它在Linux上工作）。

"CloudfrontDistribution": {
            "Type": "AWS::CloudFront::Distribution",
            "DependsOn": "CloudfrontS3LogsBucket",
            "Condition": "DRDeactivated",
            "Properties": {
                "DistributionConfig": {
<--- snip snip -->
                    "ViewerCertificate": {
                        "AcmCertificateArn": "arn:aws:acm:us-east-1:0123456789:certificate\\XXXX-XXXX-XXXX-XXXX",
                        "SslSupportMethod": "sni-only",
                        "MinimumProtocolVersion": "TLSv1.2_2019"
                    }
                }
            }
        }
    },

上面的云形成代码中的AcmCertificateArn是错误的。

"AcmCertificateArn": "arn:aws:acm:us-east-1:0123456789:certificate\\XXXX-XXXX-XXXX-XXXX",

它应该是：

"AcmCertificateArn": "arn:aws:acm:us-east-1:0123456789:certificate/XXXX-XXXX-XXXX-XXXX",

我在尝试将AWS证书附加到CloudFront发行版时遇到了同样的问题。
这个问题与AWS证书是在eu-west-1地区提供的这一事实有关。
AWS明确表示：
要在AWS证书管理器（ACM）中使用证书以要求查看器和CloudFront之间使用HTTPS，请确保在美国东部（北弗吉尼亚州）地区（us-east-1）请求（或导入）证书。
https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/cnames-and-https-requirements.html

这是我的补救办法

我所要做的就是在美国东部（N. Virginia）地区（us-east-1）提供另一个AWS证书，然后在eu-west-1地区的CloudFront分发中引用它。