我有一个证书文件,它是一个通配符域名。它既是密钥,也是 crt 文件。没有提供其他文件。
我无法让它与弹性负载均衡器正确协同工作。
我尝试过这个命令:
http://www.networksolutions.com/support/installation-of-an-ev-ssl-certificate-for-tomcat-apache/
我还尝试了以下操作:
- 网络解决方案添加信任外部 CA 根
- 网络解决方案 UTN 添加信任 CA
- 网络解决方案 UTN 服务器 CA
- 网络解决方案扩展验证 (EV) CA
- 网络解决方案中级证书
- 网络解决方案 EV Root
ELB返回的错误是:
无法验证证书链。证书链必须以直接签名证书开始,然后按顺序跟在中间证书后面。无效证书链中的索引为:-1
网上有太多相互矛盾且过时的信息,似乎没有什么用。我该如何让它发挥作用?
有没有一种方法可以与 OpenSSL 一起使用来手动找出每一步所需的证书?
答案1
我刚刚解决了这个问题,证书链的正确顺序如下:
OV_NetworkSolutionsOVServerCA2
OV_USERTrustRSACertificationAuthority
AddTrustExternalCARoot
祝你好运!
答案2
请确保您的证书链是否包含按正确顺序排列中间证书和根证书。
我在这里找到了分析链证书问题的最佳方法:Wormly 测试 SSL Web 服务器。
我已在此处启动我的域的 Amazon ELB SSL 配置:Elastic Load Balancer 的 SSL 证书。
我正在使用 COMODO Instant SSL 证书。因此,我将证书包打包到一个 zip 文件中。解压后,它包含四个文件,如下所示:
1.AddTrustExternalCARoot {Root certificate}
2.COMODORSAAddTrustCA {intermediate certificate 1}
3.COMODORSADomainValidationSecureServerCA {intermediate certificate 2}
4.www_example_com {public key for my domain name}
笔记:我们需要将上面的证书文件转换为.PEM 格式,然后才能在 Amazon ELB 中使用它。这可以通过使用以下命令完成:
openssl x509 -inform PEM -in {above certificate file name}
现在我去了听众部分紧急负载平衡配置HTTPS。ELB HTTPS 有三个括号称为:
1.Private Key {paste the private key which was generated using openSSL}
2.Public Key Certificate {paste the public key of www_example_com certificate}
3.Certificate Chain {paste the intermediate and Root certificate}
第一次尝试时,按照亚马逊的指导,证书链部分是可选的。我继续将其留空。它在 PC 浏览器中运行良好。但在尝试在 Android 移动浏览器中打开它时出现问题。
我在这里找到了解决方案:在 Amazon Elastic Load Balancer 上设置 SSL和为 SSL 证书安装创建 .pem 文件链接。
因此,为了避免这种情况,我按以下顺序包含了链式证书:
COMODORSADomainValidationSecureServerCA
COMODORSAAddTrustCA
AddTrustExternalCARoot
我已将上述三个证书(包括开始和结束标签)复制粘贴到链证书括号中。
现在完成了。太棒了,它工作得很好。现在当我使用以下工具检查时,我的 SSL 配置显示为 100% 安全 Wormly 测试 SSL Web 服务器。
谢谢。
答案3
经过近两个小时的斗争,我们发现重新排序中间证书不起作用。虽然证书已导入证书管理器,但应用程序负载均衡器看不到它。
进一步研究后,我在 AWS 上找到了一篇文章,其中明确指出,要使用 4096 位证书,您需要使用 IAM CLI 导入它。
您可以在此处阅读相关内容
https://aws.amazon.com/premiumsupport/knowledge-center/elb-ssl-tls-certificate-https/
和这里
https://aws.amazon.com/premiumsupport/knowledge-center/import-ssl-certificate-to-iam/
答案4
只需使用
- OV_NetworkSolutionsOVServerCA2
- OV_USERTrustRSA 认证机构
文件
这添加信任外部CARoot不需要文件