Назад | Перейти на главную страницу

Цепочка сертификатов с AWS ELB и сертификатами GoDaddy

Я пытаюсь настроить SSL на своем AWS ELB, но пока не могу понять, что входит в поле «Цепочка сертификатов». Я получаю следующую ошибку:

Невозможно проверить цепочку сертификатов. Цепочка сертификатов должна начинаться с сертификата немедленной подписи, за которым следуют все посредники по порядку. Индекс в цепочке недействительного сертификата: -1

У меня есть закрытый ключ и сертификат в формате PEM, и они загружены. Если я использую их без «необязательной» цепочки, она работает ненадежно. Я копался, пытаясь найти ответ, что поставить в поле, и этот ответ предлагает скачать gd_bundle-g2.crt - Я сделал это и преобразовал в PEM, запустив openssl x509 -inform PEM -in gd_bundle-g2.crt но ошибка остается. Когда я загрузил свой сертификат из GoDaddy, мне был предоставлен ZIP-архив с моим SSL-сертификатом вместе с gdig2.crt и gd_bundle-g2-g1.crt. Я пробовал использовать эти файлы в различных комбинациях и по отдельности, но опять же, ничего.

Какие сертификаты входят в цепочку сертификатов, в каком порядке и в каком формате?

Так что проблема заключалась в нескольких ошибках на моем пути. Сначала я взял -----BEGIN CERTIFICATE----- раздел из PEM, созданного из моих keytool хранилище ключей. Во-вторых, я пытался преобразовать gd_bundle-g2-g1.crt файл - он уже содержал именно то, что мне нужно было использовать.

Для начала - я использовал Digicert's Java Keytool чтобы сгенерировать мои команды для получения моего хранилища ключей и CSR, используя keytool. Оттуда я получил SSL-сертификат с подстановкой через GoDaddy и загрузил свой сертификат, который был в ZIP-файле вместе с gdig.crt и gd_bundle-g2-g1.crt. После этого я выполнил шаги, чтобы получить закрытый ключ из моего хранилища ключей после этого StackOverflow ответ. Однако foo.pem файл из этой команды требуется еще одна команда, openssl rsa -in foo.pem -out foo.rsa чтобы окончательная форма была принята панелью AWS.

Теперь, чтобы заполнить SSL-форму на AWS:

  • Закрытый ключ: содержимое foo.rsa файл с предыдущего шага.
  • Сертификат открытого ключа: содержимое <your_cert>.crt файл предоставлен GoDaddy
  • Цепочка сертификатов: содержимое gd_bundle-g2-g1.crt файл предоставлен GoDaddy

Это дало мне успешную настройку сертификата SSL для моего AWS ELB с правильным путем к сертификату, что дало мне доверенный сертификат.

Это нетривиальный процесс, и документация невелика.

Эта версия процесс с использованием SSL-сертификатов Gandi.net может помочь вам в работе, это намного лучше, чем официальная документация

http://lexical.scopely.com/2015/03/11/uploading-an-ssl-cert-from-gandi-net-to-iam/

Важно отметить, что промежуточные сертификаты не относятся к вашему домену или сертификату. Итак, каждый выданный сертификат, похожий на ваш, имеет точно такие же промежуточные сертификаты.

Вы можете думать о них как о маршрутном номере на ваших чеках. Маршрутный номер необходим, но он больше говорит о вашем банке, чем о вас. Номер вашего счета или в данном случае сертификат - это то, что для вас уникально.

Из-за общего характера промежуточных сертификатов существуют такие веб-сайты, как этот:

https://www.ssl2buy.com/wiki/ssl-intermediate-and-root-ca-bundle

В нем все промежуточные сертификаты предварительно объединены (и в правильном порядке) для разных издателей сертификатов.