Я пытаюсь настроить SSL на своем AWS ELB, но пока не могу понять, что входит в поле «Цепочка сертификатов». Я получаю следующую ошибку:
Невозможно проверить цепочку сертификатов. Цепочка сертификатов должна начинаться с сертификата немедленной подписи, за которым следуют все посредники по порядку. Индекс в цепочке недействительного сертификата: -1
У меня есть закрытый ключ и сертификат в формате PEM, и они загружены. Если я использую их без «необязательной» цепочки, она работает ненадежно. Я копался, пытаясь найти ответ, что поставить в поле, и этот ответ предлагает скачать gd_bundle-g2.crt - Я сделал это и преобразовал в PEM, запустив openssl x509 -inform PEM -in gd_bundle-g2.crt
но ошибка остается. Когда я загрузил свой сертификат из GoDaddy, мне был предоставлен ZIP-архив с моим SSL-сертификатом вместе с gdig2.crt
и gd_bundle-g2-g1.crt
. Я пробовал использовать эти файлы в различных комбинациях и по отдельности, но опять же, ничего.
Какие сертификаты входят в цепочку сертификатов, в каком порядке и в каком формате?
Так что проблема заключалась в нескольких ошибках на моем пути. Сначала я взял -----BEGIN CERTIFICATE-----
раздел из PEM, созданного из моих keytool
хранилище ключей. Во-вторых, я пытался преобразовать gd_bundle-g2-g1.crt
файл - он уже содержал именно то, что мне нужно было использовать.
Для начала - я использовал Digicert's Java Keytool чтобы сгенерировать мои команды для получения моего хранилища ключей и CSR, используя keytool
. Оттуда я получил SSL-сертификат с подстановкой через GoDaddy и загрузил свой сертификат, который был в ZIP-файле вместе с gdig.crt
и gd_bundle-g2-g1.crt
. После этого я выполнил шаги, чтобы получить закрытый ключ из моего хранилища ключей после этого StackOverflow ответ. Однако foo.pem
файл из этой команды требуется еще одна команда, openssl rsa -in foo.pem -out foo.rsa
чтобы окончательная форма была принята панелью AWS.
Теперь, чтобы заполнить SSL-форму на AWS:
foo.rsa
файл с предыдущего шага.<your_cert>.crt
файл предоставлен GoDaddy gd_bundle-g2-g1.crt
файл предоставлен GoDaddyЭто дало мне успешную настройку сертификата SSL для моего AWS ELB с правильным путем к сертификату, что дало мне доверенный сертификат.
Это нетривиальный процесс, и документация невелика.
Эта версия процесс с использованием SSL-сертификатов Gandi.net может помочь вам в работе, это намного лучше, чем официальная документация
http://lexical.scopely.com/2015/03/11/uploading-an-ssl-cert-from-gandi-net-to-iam/
Важно отметить, что промежуточные сертификаты не относятся к вашему домену или сертификату. Итак, каждый выданный сертификат, похожий на ваш, имеет точно такие же промежуточные сертификаты.
Вы можете думать о них как о маршрутном номере на ваших чеках. Маршрутный номер необходим, но он больше говорит о вашем банке, чем о вас. Номер вашего счета или в данном случае сертификат - это то, что для вас уникально.
Из-за общего характера промежуточных сертификатов существуют такие веб-сайты, как этот:
https://www.ssl2buy.com/wiki/ssl-intermediate-and-root-ca-bundle
В нем все промежуточные сертификаты предварительно объединены (и в правильном порядке) для разных издателей сертификатов.