Вопрос: Как установить промежуточные сертификаты (в AWS)?


Я установил секретный ключ (закодированный pem) и сертификат открытого ключа (закодированный в pem) на Amazon Load Balancer. Однако, когда я проверяю SSL с помощью инструмент для тестирования сайта, Я получаю следующую ошибку:

Ошибка при проверке SSL-сертификата! Не удалось получить локальный   эмитента сертификата. Эмитент местного поиска   сертификат не найден. Обычно это указывает на то, что не все   промежуточные сертификаты устанавливаются на сервере.

Я преобразовал crt-файл в pem, используя эти команды из этого руководство:

openssl x509 -in input.crt -out input.der -outform DER
openssl x509 -in input.der -inform DER -out output.pem -outform PEM

Во время настройки Amazon Load Balancer единственной опцией, которую я оставил, была цепочка сертификатов. (закодировано pem) Однако это было необязательно. Может ли это быть причиной моей проблемы? И если так; Как создать цепочку сертификатов?

ОБНОВИТЬ

Если вы сделаете запрос VeriSign, они предоставят вам цепочку сертификатов. Эта цепочка включает открытый crt, промежуточный crt и корень crt. Обязательно удалите общедоступный crt из вашей цепочки сертификатов (который является самым большим сертификатом), прежде чем добавлять его в свою цепочку сертификации вашей балансировки нагрузки Amazon.

Если вы делаете HTTPS-запросы из приложения Android, то вышеприведенная инструкция может не работать для более старых ОС Android, таких как 2.1 и 2.2. Чтобы он работал на старых ОС Android:

  • иди сюда
  • перейдите на вкладку «retail ssl» и нажмите «Безопасный сайт»> «Пакет CA для Apache Server»,
  • скопируйте и пропустите эти промежуточные сертификаты в блок цепочки сертификатов. просто если вы его не нашли вот прямая ссылка,

Если вы используете сертификаты geo trust, то решение для Android одинаково, но вам нужно скопировать и вставить свои промежуточные сертификаты для Android.


21
2018-05-30 04:47


Источник


Промежуточный сертификат == Цепочный сертификат - Chris S
спасибо @chris, можете ли вы сказать мне, как я могу создать сертификат цепи. я попытался googling однако я действительно запутался, как создать этот сертификат цепи. любые предложения или ссылки на учебник очень ценятся - getmizanur
@getmizanur Где этот сертификат? Поставщик ЦС должен быть в состоянии предоставить вам цепочку с кодировкой PEM. - Shane Madden♦


Ответы:


объединить файлы, предоставленные вручную, в следующем порядке:

  • site.com.crt
  • intermediate.crt (один или несколько, порядок их не имеет значения)
  • ROOT.crt

вы можете сделать это из оболочки с помощью cat команда

cat site.com intermediate.crt ROOT.crt > site.chain.pem

или скопировать / вставить их, без пробелов между ними, убедитесь, что сертификаты находятся на разных строках

-----BEGIN CERTIFICATE-----
site cert
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
intermediate cert
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
root cert
-----END CERTIFICATE-----

20
2018-05-30 05:24



спасибо @eric, у меня есть только два файла, подписанные .crt и .key. можете ли вы рассказать мне, как я могу получить промежуточные и корневые файлы crt? - getmizanur
knowledge.verisign.com/support/ssl-certificates-support/... - Eric Fortis
конкатенация сертификата сайта с этими промежуточными продуктами, без корневого сертификата. - Eric Fortis
@EricFortis Если балансировщик нагрузки AWS хочет отдельный файл сертификата и файл цепочки, он может просто хотеть промежуточные (и) и корневые, без сертификата объекта - не уверен! - Shane Madden♦


У меня были проблемы с моим быстрым сертификатом ssl; согласно

https://knowledge.rapidssl.com/support/ssl-certificate-support/index?page=content&id=SO21856&actp=search&viewlocale=en_US&searchid=1368427636740

Я мог бы исправить это, изменив сертификаты в комплекте CA:

проблема

При установке SSL-сертификата в Amazon Web Service (AWS) - устройство Amazon EC2, вы можете   получите следующее сообщение об ошибке.

Ошибка: недопустимый сертификат открытого ключа.   причина   Эта проблема может возникнуть на Amazon Web Service (AWS) - устройстве Amazon EC2, если любой из следующих   условия верны.

RapidSSL Intermediate CA bundle certificate is not installed on Amazon Web Service (AWS) - > Amazon EC2 device
RapidSSL Intermediate CA bundle certificate is installed on Amazon Web Service (AWS) - Amazon > EC2 device but the CA bundle required needs to be installed in reversed order

разрешение

Чтобы устранить ошибку при установке сертификата RapidSSL с помощью Amazon Web Service (AWS) - устройства Amazon EC2, выполните следующие действия.

Шаг 1. Загрузите сертификат промежуточного сертификата CA

Чтобы загрузить сертификат промежуточного сертификата ЦС, обратитесь к статье AR1548

При просмотре пакета CA вы увидите два сертификата, уложенных друг на друга. Эти двое   сертификаты должны быть переключены. Верхний сертификат необходимо разместить внизу, а   нижний сертификат должен быть размещен сверху.

...


7
2018-05-13 07:03



обратные сертификаты в моем файле ca-bunle работали как шарм. благодаря! - Mehmet Fatih Yıldız
Эта. Это правильный ответ. Ты мне так помог. - Andrey


Мне пришлось пройти через ту же проблему. Просто загрузив файл pem со следующим, похоже, разрешите проблему. Это не понравилось.

-----BEGIN CERTIFICATE-----
intermediate cert
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
root cert
-----END CERTIFICATE-----

5
2018-03-15 01:48



Ваш ответ не очень ясен, но выглядит очень похоже на уже данный и принятый. Это еще один ответ на этот вопрос? - Tonin
этот ответ сработал для меня. Я выполнил принятый ответ, включив сертификат сайта, но это не сработало. Просто поместив промежуточный сертификат cert и root, как указано в этом ответе, отлично работает! - user1258600


Для Comodo выданы сертификаты

    Private Key: private_key.text
    Public Key Certificate: yourdomain.crt
    Certificate Chain: combine these 2
    cat COMODORSADomainValidationSecureServerCA.crt COMODORSAAddTrustCA.crt > certchain.txt
    (or paste in COMODORSADomainValidationSecureServerCA.crt first followd by COMODORSAAddTrustCA.crt) 

4
2018-02-17 22:43





Я тоже установил сертификат RapidSSL и борется с ошибкой «Invalid Public Key Certificate». Я попробовал все, перечисленные здесь, включая реверсирование сертификатов цепей, опечатывание их, добавление их к сертификату основного сервера и т. Д. ...

В конце концов, я просто не мог заставить ошибку уйти. Поэтому я нашел другой способ загрузить сертификат в Amazon для использования с Load Balancer (Elastic Beanstalk): на самом деле есть графический интерфейс, который позволяет загружать сертификаты!

Он расположен в EC2 -> Load Balancers -> Выберите ваш балансировщик нагрузки -> Listnerers (вкладка) -> Выберите HTTPS в выпадающем меню -> Нажмите «Выбрать» на вкладке «Сертификат SSL», и появится всплывающая форма, позволяющая загрузить сертификат!

GUI

Как только я вставил файлы там, он работал как шарм!


0
2017-11-04 21:45



Кроме того, убедитесь, что вы пытаетесь загрузить «RSA Private Key». stackoverflow.com/questions/17733536/... - Elad Nava