Après avoir bien galéré pour tenter d'associer mon nouveau certif à un point de distribution cloudfront:
"InvalidViewerCertificateException: Status Code: 400, AWS Service: AmazonCloudFront, AWS Request ID: ec9e6070-c17a-11e3-b4c8-5dba0fa26705, AWS Error Code: InvalidViewerCertificate, AWS Error Message: The specified SSL certificate doesn't exist in the IAM certificate store, isn't valid, or doesn't include a valid certificate chain."

J'apprend au fin fond d'un compte twitter (https://twitter.com/peksa/status/441713269309706241, confirmé ici http://stackoverflow.com/questions/17537498/having-trouble-associated-ssl-cert-with-amazon-cloudfront) que cloudfront n'accepte pas les certifs dont les clés ont une taille supérieure 2048 bits.
Cela alors qu'awscli n'a pas gueulé à l'import de mes clés qui font 4096 bits (via l'API, car pas d'autres options).

Doc AWS merdique!
VDM.

ref doc officielle: http://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/SecureConnections.html