【发布时间】:2015-12-08 00:28:51
【问题描述】:
这基本上是对this question 的跟进。购买 Comodo SSL 证书后,我也只收到了一个 zip 文件夹中的两个文件 - fake_domain.crt 和 fake_domain.ca-bundle。我见过的大多数参考资料都说我应该收到 4 个文件,例如 COMODORSADomainValidationSecureServerCA.crt。
要将我的 SSL 证书上传到 AWS 负载均衡器,它需要 PEM 格式的私钥、公钥证书和证书链。私钥和证书很简单。对于链,使用引用问题的答案 -
cat certfile.crt bundle.ca-bundle >> chain.crt
没用。 AWS 响应以下错误:
创建证书时出错 无法验证证书链。证书链必须从直接签名证书开始,然后是任何中间人。无效证书链内索引为:1
将这两个文件都转换为 PEM 格式,然后连接也失败了。这是我使用的命令,然后将输出复制到 AWS 证书链字段:
openssl x509 -inform PEM -in fake_domain.crt; openssl x509 -inform PEM -in fake_domain.ca-bundle
如何为 AWS 负载均衡器正确创建证书链?
【问题讨论】:
-
捆绑文件中有多少个证书?如果它们中有 2 个或更多,则 $5 表示它们以相反的顺序组装。如果您愿意大胆尝试,请使用文本编辑器将捆绑包中的证书块的顺序颠倒过来,然后重试,如果可行,我将解释如何从文件内容中推断出来;如果它不起作用,相同的解释应该可以帮助您解决问题。
-
它是通配符域的单个 SSL 证书。如果我颠倒捆绑文件中的顺序,我仍然需要将该文件转换为 PEM for AWS,对吗?如果它不正确,那应该不会引起我认为的任何问题......
-
排序很关键。请记住,这是一条信任“链”。您的证书以您的站点为主题,并有一个颁发者;链中的第一个证书以该发行者为主题,以及不同的发行者;链中的下一个将先前的颁发者作为主题,直到遇到信任库中的 CA。以相反的顺序,“链”被破坏,因此无效证书链内的索引为:1。另外,我本来希望证书已经是 PEM 格式。我不记得需要转换它们。
-
re: “捆绑文件中有多少证书?” ...文件中有多少“块”是问题所在。这是我建议需要扭转的那些障碍。如果为 3,则将 1,2,3 更改为 3,2,1。不要与您的证书连接,因为 AWS 为您的证书提供了一个单独的空间。
-
感谢@Michael 的帮助
标签: ssl amazon-web-services certificate load-balancing chain