Wie installiere ich Zwischenzertifikate (in AWS)?

22

Ich habe einen privaten Schlüssel (PEM-codiert) und ein öffentliches Schlüsselzertifikat (PEM-codiert) auf Amazon Load Balancer installiert. Wenn ich das SSL mit dem Site-Test-Tool überprüfe , wird jedoch die folgende Fehlermeldung angezeigt:

Fehler beim Überprüfen des SSL-Zertifikats !! Der lokale Aussteller des Zertifikats kann nicht abgerufen werden. Der Aussteller eines lokal nachgeschlagenen Zertifikats wurde nicht gefunden. Normalerweise weist dies darauf hin, dass nicht alle Zwischenzertifikate auf dem Server installiert sind.

Ich habe die crt-Datei mit den folgenden Befehlen aus diesem Tutorial in pem konvertiert :

openssl x509 -in input.crt -out input.der -outform DER
openssl x509 -in input.der -inform DER -out output.pem -outform PEM

Während der Einrichtung von Amazon Load Balancer war die einzige Option, die ich ausgelassen habe, die Zertifikatskette. (pem-codiert) Dies war jedoch optional. Könnte dies eine Ursache für mein Problem sein? Und wenn; Wie erstelle ich eine Zertifikatskette?

AKTUALISIEREN

Wenn Sie eine Anfrage an VeriSign stellen, erhalten Sie eine Zertifikatskette. Diese Kette umfasst öffentliche CRT, Zwischen-CRT und Wurzel-CRT. Stellen Sie sicher, dass Sie das öffentliche Zertifikat aus Ihrer Zertifikatskette (dem obersten Zertifikat) entfernen, bevor Sie es zu Ihrer Zertifizierungskettenbox Ihres Amazon Load Balancer hinzufügen.

Wenn Sie HTTPS-Anfragen von einer Android-App stellen, funktioniert die obige Anweisung möglicherweise nicht für ältere Android-Betriebssysteme wie 2.1 und 2.2. Damit es unter älteren Android-Betriebssystemen funktioniert:

  • Gehe hier hin
  • Klicken Sie auf die Registerkarte "retail ssl" und dann auf "sichere Site"> "CA Bundle for Apache Server".
  • Kopieren Sie diese Zwischenzertifikate und fügen Sie sie in die Zertifikatskettenbox ein. Nur für den Fall, wenn Sie es hier nicht gefunden haben, ist der direkte Link .

Wenn Sie Geo-Trust-Zertifikate verwenden, ist die Lösung für Android-Geräte ähnlich. Sie müssen jedoch deren Zwischenzertifikate für Android kopieren und einfügen.

getmizanur
quelle
Zwischenzertifikat == Kettenzertifikat
Chris S
danke @chris, können Sie mir sagen, wie ich Kettenzertifikat erstellen kann. Ich habe versucht zu googeln, aber ich bin wirklich verwirrt, wie man dieses Kettenzertifikat erstellt. Anregungen oder Links zum Tutorial werden sehr geschätzt
getmizanur
@getmizanur Woher stammt dieses Zertifikat? Der CA-Anbieter sollte Ihnen die PEM-codierte Kette zur Verfügung stellen können.
Shane Madden

Antworten:

21

Verketten Sie die bereitgestellten Dateien manuell in der folgenden Reihenfolge:

  • site.com.crt
  • intermediate.crt (eine oder mehrere, die Reihenfolge spielt keine Rolle)
  • ROOT.crt

Sie können dies aus einer Shell mit dem catBefehl tun

cat site.com intermediate.crt ROOT.crt > site.chain.pem

Stellen Sie sicher, dass sich die Zertifikate in verschiedenen Zeilen befinden

-----BEGIN CERTIFICATE-----
site cert
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
intermediate cert
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
root cert
-----END CERTIFICATE-----
Eric Fortis
quelle
danke @eric, ich habe nur zwei Dateien signiert .crt und .key. Können Sie mir sagen, wie ich Intermediate- und Root-CRT-Dateien bekommen kann?
Getmizanur
3
Verknüpfen Sie das Site-Zertifikat mit diesen Intermediates ohne Root-Zertifikat.
Eric Fortis
@EricFortis Wenn der AWS-Lastenausgleich eine separate Zertifikat- und Kettendatei benötigt, sind möglicherweise nur die Zwischenprodukte und der Stamm ohne das betreffende Zertifikat erforderlich - nicht sicher!
Shane Madden
7

Ich hatte Probleme mit meinem Rapid-SSL-Zertifikat. wie pro

https://knowledge.rapidssl.com/support/ssl-certificate-support/index?page=content&id=SO21856&actp=search&viewlocale=de&searchid=1368427636740

Ich konnte das Problem beheben, indem ich die Zertifikate im CA-Bundle umkehrte:

Problem

Wenn Sie ein SSL-Zertifikat in Amazon Web Service (AWS) - Amazon EC2-Gerät installieren, wird möglicherweise die folgende Fehlermeldung angezeigt.

Fehler: Ungültiges Public-Key-Zertifikat. Ursache Dieses Problem kann auf Amazon Web Service (AWS) - Amazon EC2-Geräten auftreten, wenn eine der folgenden Bedingungen erfüllt ist.

RapidSSL Intermediate CA bundle certificate is not installed on Amazon Web Service (AWS) - > Amazon EC2 device
RapidSSL Intermediate CA bundle certificate is installed on Amazon Web Service (AWS) - Amazon > EC2 device but the CA bundle required needs to be installed in reversed order

Auflösung

Führen Sie die folgenden Schritte aus, um den Fehler beim Installieren des RapidSSL-Zertifikats mithilfe von Amazon Web Service (AWS) - Amazon EC2-Gerät zu beheben.

Schritt 1: Laden Sie das Intermediate CA Bundle-Zertifikat herunter

Informationen zum Herunterladen des Intermediate CA-Bundle-Zertifikats finden Sie im Artikel AR1548

Wenn Sie das CA-Bundle anzeigen, werden zwei Zertifikate übereinander gestapelt. Diese beiden Zertifikate müssen gewechselt werden. Das oberste Zertifikat muss unten platziert werden und das unterste Zertifikat muss oben platziert werden.

...

notalifeform
quelle
das rückgängigmachen von zertifikaten in meiner ca-bunle datei hat wie ein zauber funktioniert. Vielen Dank!
Mehmet Fatih Yıldız
Dies. Das ist die richtige Antwort. Du hast mir so sehr geholfen.
Andrey
5

Ich musste das gleiche Problem durchgehen. Nur durch das Hochladen einer PEM-Datei mit dem folgenden scheint das Problem zu lösen. Es mochte nicht Site Cert an der Spitze

-----BEGIN CERTIFICATE-----
intermediate cert
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
root cert
-----END CERTIFICATE-----
STHAL
quelle
2
Ihre Antwort ist nicht sehr klar, sieht aber der bereits gegebenen und akzeptierten sehr ähnlich. Ist es wirklich eine andere Antwort auf die Frage?
Tonin
Diese Antwort hat bei mir funktioniert. Ich folgte der akzeptierten Antwort, indem ich das Site-Zertifikat anschloss, aber das funktionierte nicht. Nur indem Sie das Zwischenzertifikat und das Stammzertifikat, wie in dieser Antwort erwähnt, eingeben, haben Sie großartige Ergebnisse erzielt!
user1258600
4

Für Comodo ausgestellte Zertifikate

    Private Key: private_key.text
    Public Key Certificate: yourdomain.crt
    Certificate Chain: combine these 2
    cat COMODORSADomainValidationSecureServerCA.crt COMODORSAAddTrustCA.crt > certchain.txt
    (or paste in COMODORSADomainValidationSecureServerCA.crt first followd by COMODORSAAddTrustCA.crt) 
appsmatics
quelle
0

Auch ich habe ein RapidSSL-Zertifikat erworben und habe Probleme mit dem Fehler "Ungültiges öffentliches Schlüsselzertifikat". Ich habe alles versucht, was hier aufgeführt ist, einschließlich der Umkehrung der Kettenzertifikate, der Freigabe, des Anhängens der Zertifikate an das Hauptserver-Zertifikat usw.

Am Ende konnte ich den Fehler einfach nicht beheben. Also habe ich eine andere Möglichkeit gefunden, ein Zertifikat für die Verwendung mit dem Load Balancer (Elastic Beanstalk) auf Amazon hochzuladen: Es gibt tatsächlich eine GUI, die das Hochladen von Zertifikaten ermöglicht!

Es befindet sich in EC2 -> Load Balancer -> Wählen Sie Ihren Load Balancer -> Listener (Registerkarte) -> Wählen Sie HTTPS im Dropdown-Menü -> Klicken Sie auf Auswählen unter der Registerkarte SSL-Zertifikat, und ein Formular wird angezeigt, mit dem Sie Ihr Zertifikat hochladen können!

GUI

Sobald ich die Dateien dort eingefügt habe, hat es wie ein Zauber funktioniert!

Elad Nava
quelle
Stellen Sie außerdem sicher, dass Sie versuchen, einen "RSA Private Key" hochzuladen. stackoverflow.com/questions/17733536/…
Elad Nava