Мне предоставили файл сертификата, который представляет собой доменное имя с подстановочными знаками. Он поставляется как в виде ключа, так и в виде файла crt. Других файлов предоставлено не было.
У меня проблемы с правильной работой с эластичным балансировщиком нагрузки.
Я пробовал такой порядок:
http://www.networksolutions.com/support/installation-of-an-ev-ssl-certificate-for-tomcat-apache/
С промежуточными сертификатами, полученными отсюда: http://www.networksolutions.com/support/where-can-i-locate-the-network-solutions-nsprotect-root-and-intermediate-certificate-files/
Я также пробовал следующее:
Ошибка, которую возвращает ELB:
Невозможно проверить цепочку сертификатов. Цепочка сертификатов должна начинаться с сертификата для немедленной подписи, за которым следуют все посредники по порядку. Индекс в цепочке недействительного сертификата: -1
Существует так много противоречивой и устаревшей информации, и кажется, что ничего не работает. Как мне заставить это работать?
Есть ли метод, который я могу использовать с OpenSSL, чтобы вручную определять, какие сертификаты мне нужны на каждом этапе?
Убедитесь, что ваша цепочка сертификатов содержит промежуточный и корневой сертификаты в надлежащем порядке.
Лучший способ проанализировать проблему с сертификатом цепочки я нашел здесь: Веб-сервер Wormly Test SSL.
Я запустил конфигурацию SSL Amazon ELB для своего домена здесь: SSL-сертификат для эластичной балансировки нагрузки.
Я использую сертификаты COMODO Instant SSL. Итак, я получил пачку сертификатов в zip-архиве. Когда я извлек, он содержит четыре файла, например:
1.AddTrustExternalCARoot {Root certificate}
2.COMODORSAAddTrustCA {intermediate certificate 1}
3.COMODORSADomainValidationSecureServerCA {intermediate certificate 2}
4.www_example_com {public key for my domain name}
Примечание: Нам нужно преобразовать указанный выше файл сертификата в Формат .PEM, прежде чем использовать его в Amazon ELB. Это делается с помощью команды:
openssl x509 -inform PEM -in {above certificate file name}
Теперь я пошел в Слушатели часть ELB настроить HTTPS. У ELB HTTPS есть три скобки:
1.Private Key {paste the private key which was generated using openSSL}
2.Public Key Certificate {paste the public key of www_example_com certificate}
3.Certificate Chain {paste the intermediate and Root certificate}
В первой попытке, как указано в Amazon, часть цепочки сертификатов является необязательной. Я продолжал оставлять поле пустым. Он отлично работал в браузерах на ПК. И проблема возникла при попытке открыть его в мобильных браузерах Android.
Я нашел здесь решение:Настройка SSL на Amazon Elastic Load Balancer и Создание файла .pem для установки сертификатов SSL ссылки.
Итак, чтобы избежать этого, я включил связанный сертификат в следующем порядке:
COMODORSADomainValidationSecureServerCA
COMODORSAAddTrustCA
AddTrustExternalCARoot
Я скопировал три вышеуказанных сертификата, включая теги Begin и End, в скобку сертификата цепочки.
Теперь дело сделано. Отлично, он работал нормально. Теперь моя конфигурация SSL показана на 100% защищенной, когда я проверил ее с помощью Веб-сервер Wormly Test SSL.
Спасибо.
Я только что решил это, правильный порядок цепочки сертификатов выглядит следующим образом:
OV_NetworkSolutionsOVServerCA2
OV_USERTrustRSACertificationAuthority
AddTrustExternalCARoot
Удачи!
просто используйте
Файлы
В AddTrustExternalCARoot Файл не нужен
После почти двухчасовой борьбы с этим мы обнаружили, что изменение порядка промежуточных сертификатов не работает. Хотя сертификат импортируется в диспетчер сертификатов, он не отображается для балансировки нагрузки приложений.
Продолжая копаться в этом вопросе, я нашел статью об AWS, в которой четко говорится, что для использования 4096-битного сертификата вам необходимо импортировать его с помощью IAM CLI.
Вы можете прочитать об этом здесь
https://aws.amazon.com/premiumsupport/knowledge-center/elb-ssl-tls-certificate-https/
и тут
https://aws.amazon.com/premiumsupport/knowledge-center/import-ssl-certificate-to-iam/