Как установить промежуточные сертификаты (в AWS)?

Я установил личный ключ (закодированный pem) и сертификат открытого ключа (закодированный в pem) на Amazon Load Balancer. Однако, когда я проверяю SSL с помощью средства тестирования сайта , я получаю следующую ошибку:

  

Ошибка при проверке SSL-сертификата! Не удалось получить локальный   эмитента сертификата. Эмитент местного поиска   сертификат не найден. Обычно это указывает на то, что не все   промежуточные сертификаты устанавливаются на сервере.

Я преобразовал crt-файл в pem, используя эти команды из этого учебника :

openssl x509 -in input.crt -out input.der -outform DER
openssl x509 -in input.der -inform DER -out output.pem -outform PEM

Во время настройки балансировки нагрузки Amazon единственной опцией, которую я оставил, была цепочка сертификатов. (закодировано pem) Однако это было необязательно. Может ли это быть причиной моей проблемы? И если так; Как создать цепочку сертификатов?

UPDATE

Если вы сделаете запрос VeriSign, они предоставят вам цепочку сертификатов. Эта цепочка включает открытый crt, промежуточный crt и корень crt. Обязательно удалите общедоступный crt из вашей цепочки сертификатов (который является самым большим сертификатом), прежде чем добавлять его в свою цепочку сертификации вашей балансировки нагрузки Amazon.

Если вы делаете HTTPS-запросы из приложения Android, то вышеприведенная инструкция может не работать для более старых ОС Android, таких как 2.1 и 2.2. Чтобы он работал на старых ОС Android:

  • перейти сюда
  • перейдите на вкладку «retail ssl» и нажмите «secure site»> «CA Bundle для Apache Server»
  • скопируйте и пропустите эти промежуточные сертификаты в поле цепочки сертификатов. просто если вы не нашли его здесь прямая ссылка .

Если вы используете сертификаты geo trust, то решение для Android одинаково, но вам нужно скопировать и вставить свои промежуточные сертификаты для Android.

21 голос | спросил getmizanur 30 Mayam12 2012, 08:47:58

5 ответов


20

объединить файлы, предоставленные вручную, в следующем порядке:

  • site.com.crt
  • intermediate.crt (один или несколько, порядок их не имеет значения)
  • ROOT.crt

вы можете сделать это из оболочки с помощью команды cat

cat site.com intermediate.crt ROOT.crt > site.chain.pem

или скопировать /вставить их, без пробелов между ними, убедитесь, что сертификаты находятся в разных строках

-----BEGIN CERTIFICATE-----
site cert
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
intermediate cert
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
root cert
-----END CERTIFICATE-----
ответил Eric Fortis 30 Mayam12 2012, 09:24:33
7

У меня были проблемы с моим быстрым сертификатом ssl; согласно

https : //knowledge.rapidssl.com/support/ssl-certificate-support/index страница = содержание & амп; ID = SO21856 & амп; АСТР = поиск & амп; viewlocale = en_US & амп; searchid = 1368427636740

Я мог бы исправить это, изменив сертификаты в комплекте CA:

  

Проблема

     

При установке SSL-сертификата в Amazon Web Service (AWS) - устройство Amazon EC2, вы можете   получите следующее сообщение об ошибке.

     

Ошибка: недействительный сертификат открытого ключа.   причина   Эта проблема может возникнуть на Amazon Web Service (AWS) - устройстве Amazon EC2, если любой из следующих   условия верны.

RapidSSL Intermediate CA bundle certificate is not installed on Amazon Web Service (AWS) - > Amazon EC2 device
RapidSSL Intermediate CA bundle certificate is installed on Amazon Web Service (AWS) - Amazon > EC2 device but the CA bundle required needs to be installed in reversed order
     

Разрешение

     

Чтобы устранить ошибку при установке сертификата RapidSSL с помощью Amazon Web Service (AWS) - устройства Amazon EC2, выполните следующие шаги.

     

Шаг 1: Загрузите сертификат промежуточного сертификата CA

     

Чтобы загрузить сертификат промежуточного сертификата ЦС, обратитесь к статье AR1548

     

При просмотре пакета CA вы увидите два сертификата, уложенных друг на друга. Эти двое   сертификаты должны быть переключены. Верхний сертификат необходимо разместить внизу, а   нижний сертификат должен быть помещен сверху.

     

...

ответил notalifeform 13 Mayam13 2013, 11:03:49
5

Мне пришлось пройти ту же проблему. Просто загрузив файл pem со следующим, похоже, разрешите проблему. Это не понравилось сертификату сайта наверху

-----BEGIN CERTIFICATE-----
intermediate cert
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
root cert
-----END CERTIFICATE-----
ответил STHAL 15 MaramFri, 15 Mar 2013 05:48:26 +04002013-03-15T05:48:26+04:0005 2013, 05:48:26
4

Для Comodo выдается сертификат

    Private Key: private_key.text
    Public Key Certificate: yourdomain.crt
    Certificate Chain: combine these 2
    cat COMODORSADomainValidationSecureServerCA.crt COMODORSAAddTrustCA.crt > certchain.txt
    (or paste in COMODORSADomainValidationSecureServerCA.crt first followd by COMODORSAAddTrustCA.crt) 
ответил appsmatics 18 FebruaryEurope/MoscowbWed, 18 Feb 2015 01:43:19 +0300000000amWed, 18 Feb 2015 01:43:19 +030015 2015, 01:43:19
0

Я тоже установил сертификат RapidSSL и боролся с ошибкой «Invalid Public Key Certificate». Я попробовал все перечисленные здесь, включая реверсирование сертификатов цепей, их оммирование, добавление их к сертификату основного сервера и т. Д.

В конце концов, я просто не мог заставить ошибку уйти. Поэтому я нашел другой способ загрузить сертификат Amazon для использования с Load Balancer (Elastic Beanstalk): на самом деле есть графический интерфейс, который позволяет загружать сертификаты!

Он расположен в EC2 -> Балансиры нагрузки -> Выберите свой балансировщик -> Listnerers (вкладка) -> В раскрывающемся меню выберите HTTPS -> Нажмите «Выбрать» на вкладке «Сертификат SSL», и появится всплывающая форма, позволяющая загрузить сертификат!

GUI

Как только я вставлял файлы там, он работал как шарм!

ответил Elad Nava 5 22013vEurope/Moscow11bEurope/MoscowTue, 05 Nov 2013 01:45:13 +0400 2013, 01:45:13

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132