Як встановити проміжні сертифікати (в AWS)?

Я встановив приватний ключ (кодований pem) та сертифікат відкритого ключа (pem закодований) на Amazon Load Balancer. Однак, коли я перевіряю SSL з інструментом тестування сайту , я отримую таку помилку:

Помилка під час перевірки сертифіката SSL !! Неможливо отримати місцевого емітента сертифіката. Не вдалося знайти видавця сертифікованого місцевого свідоцтва. Зазвичай це вказує на те, що не всі проміжні сертифікати встановлені на сервері.

Я перетворив файл crt в pem, використовуючи ці команди з цього підручника :

openssl x509 -in input.crt -out input.der -outform DER
openssl x509 -in input.der -inform DER -out output.pem -outform PEM

Під час налаштування Amazon Load Balancer єдиний варіант, який я залишив, - це ланцюжок сертифікатів. (pem закодовано) Однак це було необов'язково. Чи може це бути причиною мого питання? І якщо так; Як створити ланцюжок сертифікатів?

ОНОВЛЕННЯ

Якщо ви подасте запит до VeriSign, вони видадуть вам ланцюжок сертифікатів. Цей ланцюг включає загальнодоступну, проміжну та кореневу. Переконайтесь, що вилучите загальнодоступну відеокамеру з ланцюжка сертифікатів (що є найвищим сертифікатом), перш ніж додавати її до коробки ланцюгів сертифікації вашого Amazon Load Balancer.

Якщо ви робите запити HTTPS з програми Android, то наведена вище інструкція може не працювати для старих ОС Android, таких як 2.1 та 2.2. Щоб він працював на старих ОС Android:

• йди сюди
• натисніть на вкладку "роздрібна ssl", а потім натисніть на "захищений сайт"> "Пакет CA для сервера Apache"
• скопіюйте та вставте ці проміжні сертифікати у вікно ланцюжка сертифікатів. просто випадок, якщо ви його не знайшли тут, це пряме посилання .

Якщо ви використовуєте сертифікати гео довіри, то рішення майже однакове для пристроїв Android, однак вам потрібно скопіювати та вставити їх проміжні сертифікати для Android.

об'єднайте файли, надані вручну, у такому порядку:

• site.com.crt
• intermediate.crt (один або більше, порядок їх не має значення)
• ROOT.crt

це можна зробити з оболонки за допомогою catкоманди

cat site.com intermediate.crt ROOT.crt > site.chain.pem

або скопіюйте / вставте їх, не маючи пробілів між ними, переконайтеся, що сертифікати знаходяться в різних рядках

-----BEGIN CERTIFICATE-----
site cert
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
intermediate cert
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
root cert
-----END CERTIFICATE-----

У мене були проблеми з моїм швидким ssl cert; згідно

https://knowledge.rapidssl.com/support/ssl-certificate-support/index?page=content&id=SO21856&actp=search&viewlocale=en_US&searchid=1368427636740

Я можу це виправити, повернувши сертифікати в пакеті CA:

Проблема

Встановлюючи сертифікат SSL в веб-службу Amazon (AWS) - Amazon EC2, ви можете отримати таке повідомлення про помилку.

Помилка: недійсний сертифікат відкритого ключа. Причина Ця проблема може виникнути на веб-сервісі Amazon (AWS) - пристрої Amazon EC2, коли виконується будь-яке з наведених нижче умов.

RapidSSL Intermediate CA bundle certificate is not installed on Amazon Web Service (AWS) - > Amazon EC2 device
RapidSSL Intermediate CA bundle certificate is installed on Amazon Web Service (AWS) - Amazon > EC2 device but the CA bundle required needs to be installed in reversed order

Дозвіл

Щоб вирішити помилку при встановленні сертифіката RapidSSL за допомогою веб-сервісу Amazon (AWS) - пристрою Amazon EC2, виконайте наступні дії.

Крок 1. Завантажте проміжний сертифікат пакета CA

Щоб завантажити сертифікат пакета проміжних даних, див. Статтю AR1548

Переглядаючи пакет CA, ви побачите два сертифікати, розміщені один на одного. Ці два сертифікати потрібно буде переключити. Верхній сертифікат потрібно розмістити внизу, а нижній - на верхньому.

...

Мені довелося пройти те саме питання. Просто завантаження файлу pem із наступним, здається, вирішить проблему. Це не сподобалось церт сайту вгорі

-----BEGIN CERTIFICATE-----
intermediate cert
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
root cert
-----END CERTIFICATE-----

Для Комодо видані серти

    Private Key: private_key.text
    Public Key Certificate: yourdomain.crt
    Certificate Chain: combine these 2
    cat COMODORSADomainValidationSecureServerCA.crt COMODORSAAddTrustCA.crt > certchain.txt
    (or paste in COMODORSADomainValidationSecureServerCA.crt first followd by COMODORSAAddTrustCA.crt) 

Я теж придбав сертифікат RapidSSL і зіткнувся з помилкою "Недійсний сертифікат відкритого ключа". Я спробував усе, що перераховано тут, включаючи скасування сертифікатів ланцюга, опущення їх, додавання їх до основного сертифікату сервера тощо.

Зрештою, я просто не міг отримати помилку, щоб піти. Тому я знайшов інший спосіб завантажити сертифікат в Amazon для використання з балансиром навантаження (Elastic Beanstalk): Насправді є графічний інтерфейс, що дозволяє завантажувати сертифікати!

Він розміщений у EC2 -> Load Balancers -> Виберіть балансир завантаження -> Listnerers (вкладка) -> Виберіть HTTPS у випадаючому меню -> Клацніть Вибрати на вкладці SSL сертифікат і спливає форма, яка дозволяє завантажувати ваш сертифікат!

Як тільки я вставив файли туди, це спрацювало як шарм!