CloudFront の証明書は、これまで、ROOT 発行のもので使っていたのですが、最小特権の観点からは望ましくありません。
以下のようにして、証明書を作成して、CloudFront で、公開鍵とグループを登録し、Behavior で、望ましい方法である、公開鍵グループを選択して使いましょう。
#!/bin/bash
echo ""
echo "#### I will create a key pair for CloudFront. ####"
echo ""
echo -n "CLIENT:"
read CLIENT
TODAY=$(date '+%Y%m%d')
echo ""
set -x
openssl genrsa -out cloudfront_${CLIENT}_private_key_${TODAY}.pem 2048
openssl rsa -pubout -in cloudfront_${CLIENT}_private_key_${TODAY}.pem -out cloudfront_${CLIENT}_public_key_${TODAY}.pem
set +x
echo ""
echo "#### Please check generated files. ####"
echo ""