今天发现aws 的IAM 还有放证书的地方，这个证书在console 控制台上还看不了，一定要ACL 才可以看到，下面先登入ACL 看一下：

C:\Users\sheng>aws iam list-server-certificates

可以看到有些证书已经过期了，如果要移除这些证书，可以执行如下的命令：

 aws iam delete-server-certificate --server-certificate-name <CERTIFICATE_NAME>

上面的 CERTIFICATE_NAME 可以替换成上面过期的 证书，就可以删除啦。

关于买证书的话，可以去第三方买了以后，再挂到cloudfront 里面就可以了。