Come installo i certificati intermedi (in AWS)?

22

Ho installato la chiave privata (codificata pem) e il certificato della chiave pubblica (codificata pem) su Amazon Load Balancer. Tuttavia, quando controllo SSL con lo strumento di test del sito , viene visualizzato il seguente errore:

Errore durante il controllo del certificato SSL !! Impossibile ottenere l'emittente locale del certificato. Non è stato possibile trovare l'emittente di un certificato cercato localmente. Normalmente questo indica che non tutti i certificati intermedi sono installati sul server.

Ho convertito il file crt in pem usando questi comandi da questo tutorial :

openssl x509 -in input.crt -out input.der -outform DER
openssl x509 -in input.der -inform DER -out output.pem -outform PEM

Durante l'installazione di Amazon Load Balancer, l'unica opzione che ho lasciato fuori era la catena di certificati. (codificato in pem) Tuttavia, questo era facoltativo. Potrebbe essere questa la causa del mio problema? E se così fosse; Come posso creare una catena di certificati?

AGGIORNARE

Se fai una richiesta a VeriSign ti daranno una catena di certificati. Questa catena include crt pubblica, crt intermedia e crt radice. Assicurati di rimuovere la crt pubblica dalla catena di certificati (che è la più alta certificazione) prima di aggiungerla alla scatola della catena di certificazione di Amazon Load Balancer.

Se stai effettuando richieste HTTPS da un'app Android, le istruzioni precedenti potrebbero non funzionare con sistemi operativi Android precedenti come 2.1 e 2.2. Per farlo funzionare su vecchi sistemi operativi Android:

  • vai qui
  • fai clic sulla scheda "retail ssl", quindi fai clic su "sito sicuro"> "CA Bundle for Apache Server"
  • copia e incolla questi certificati intermedi nella scatola della catena di certificati. solo in caso di non averlo trovato qui è il link diretto .

Se stai utilizzando i certificati di trust geografico, la soluzione è più o meno la stessa per i dispositivi Android, tuttavia, devi copiare e incollare i certificati intermedi per Android.

amazon-ec2  ssl  load-balancing 
getmizanur
fonte
Certificato intermedio == Certificato catena
Chris S
grazie @chris, puoi dirmi come posso creare un certificato a catena. ho provato a cercare su google ma sono davvero confuso su come creare questo certificato a catena. qualsiasi suggerimento o collegamento al tutorial è molto apprezzato
getmizanur,
@getmizanur Da dove viene questo certificato? Il fornitore della CA dovrebbe essere in grado di fornire la catena codificata PEM.
Shane Madden

Risposte:

21

concatenare i file forniti manualmente, nel seguente ordine:

  • site.com.crt
  • intermedio.crt (uno o più, l'ordine di questi non importa)
  • ROOT.crt

puoi farlo da una shell con il catcomando

cat site.com intermediate.crt ROOT.crt > site.chain.pem

oppure copiarli / incollarli, senza spazi bianchi, assicurarsi che i certificati si trovino su righe diverse

-----BEGIN CERTIFICATE-----
site cert
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
intermediate cert
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
root cert
-----END CERTIFICATE-----
Eric Fortis
fonte
grazie @eric, ho solo due file firmati .crt e .key. puoi dirmi come posso ottenere file crt intermedi e root?
getmizanur,
Eric Fortis,
3
concatenare il certificato del sito con tali intermedi, senza il certificato radice.
Eric Fortis,
@EricFortis Se il bilanciamento del carico AWS desidera un file di certificato e un file di catena separati, potrebbe semplicemente desiderare l'intermediario e la radice, senza l'oggetto certificato - non sono sicuro!
Shane Madden
7

Ho avuto problemi con il mio certificato rapido; come da

https://knowledge.rapidssl.com/support/ssl-certificate-support/index?page=content&id=SO21856&actp=search&viewlocale=en_US&searchid=1368427636740

Potrei risolverlo invertendo i certificati nel bundle CA:

Problema

Quando si installa un certificato SSL in Amazon Web Service (AWS) - dispositivo Amazon EC2, è possibile che venga visualizzato il seguente messaggio di errore.

Errore: certificato chiave pubblica non valido. Causa Questo problema può verificarsi su Amazon Web Service (AWS) - dispositivo Amazon EC2 quando si verifica una delle seguenti condizioni.

RapidSSL Intermediate CA bundle certificate is not installed on Amazon Web Service (AWS) - > Amazon EC2 device
RapidSSL Intermediate CA bundle certificate is installed on Amazon Web Service (AWS) - Amazon > EC2 device but the CA bundle required needs to be installed in reversed order

Risoluzione

Per risolvere l'errore dall'installazione del certificato RapidSSL utilizzando Amazon Web Service (AWS) - dispositivo Amazon EC2, procedere come segue.

Passaggio 1: scaricare il certificato bundle CA intermedio

Per scaricare il certificato del bundle CA intermedio, consultare l'articolo AR1548

Quando si visualizza il bundle CA, vengono visualizzati due certificati sovrapposti. Questi due certificati dovranno essere cambiati. Il certificato superiore deve essere posizionato in basso e il certificato inferiore deve essere posizionato in alto.

...

notalifeform
fonte
invertire i certificati nel mio file ca-bunle ha funzionato come un fascino. Grazie!
Mehmet Fatih Yıldız,
Questo. Questa è la risposta corretta Mi hai aiutato così tanto.
Andrey,
5

Ho dovuto affrontare lo stesso problema. Solo caricando un file pem con il seguente sembra risolvere il problema. Non è piaciuto il sito cert in alto

-----BEGIN CERTIFICATE-----
intermediate cert
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
root cert
-----END CERTIFICATE-----
Stahl
fonte
2
La tua risposta non è molto chiara ma sembra molto simile a quella già fornita e accettata. È davvero un'altra risposta alla domanda?
Tonin
questa risposta ha funzionato per me. Ho seguito la risposta accettata includendo il certificato del sito ma che non ha funzionato. Semplicemente inserendo il certificato intermedio e il certificato radice come menzionato in questa risposta ha funzionato alla grande!
user1258600
4

Per Comodo rilasciato certificati

    Private Key: private_key.text
    Public Key Certificate: yourdomain.crt
    Certificate Chain: combine these 2
    cat COMODORSADomainValidationSecureServerCA.crt COMODORSAAddTrustCA.crt > certchain.txt
    (or paste in COMODORSADomainValidationSecureServerCA.crt first followd by COMODORSAAddTrustCA.crt)
appsmatics
fonte
0

Anch'io ho acquistato un certificato RapidSSL e ho riscontrato l'errore "Certificato chiave pubblica non valido". Ho provato tutto ciò che è elencato qui, incluso l'inversione dei certificati della catena, l'omissione di loro, aggiungendoli al certificato del server principale, ecc ...

Alla fine, non riuscivo a far sparire l'errore. Quindi ho trovato un altro modo per caricare un certificato su Amazon da utilizzare con Load Balancer (Elastic Beanstalk): in realtà esiste una GUI che consente di caricare certificati!

Si trova in EC2 -> Bilanciamento del carico -> Seleziona il tuo bilanciamento del carico -> Listner (scheda) -> Seleziona HTTPS nel menu a discesa -> Fai clic su Seleziona nella scheda Certificato SSL e viene visualizzato un modulo che ti consente di caricare il tuo certificato!

GUI

Una volta incollati i file lì dentro, ha funzionato come un incantesimo!

Elad Nava
fonte
Inoltre, assicurati di provare a caricare una "chiave privata RSA". stackoverflow.com/questions/17733536/…
Elad Nava,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.