Это, в основном, продолжение до this question. После покупки сертификата Comodo SSL я также отправил только два файла в zip-папку - fake_domain.crt и fake_domain.ca-bundle. Большинство ссылок, которые я видел, говорят, что я должен был получить 4 файла, например COMODORSADomainValidationSecureServerCA.crt.Использование Comodo SSL с сертификатной цепочкой AWS
Чтобы загрузить мой сертификат SSL на балансировщик нагрузки AWS, для этого требуется секретный ключ, сертификат открытого ключа и цепочка сертификатов, все в формате PEM. Частный ключ и сертификат достаточно просты. Для цепи, используя ответ из упомянутого вопроса -
cat certfile.crt bundle.ca-bundle >> chain.crt
не работал. AWS ответил со следующей ошибкой:
Ошибка при создании сертификата Не удалось проверить цепочку сертификатов. Цепочка сертификатов должна начинаться с сертификата немедленного подписания, за которым следуют любые посредники. Индекс в цепочке недействительного сертификата: 1
Преобразование обоих файлов в формат PEM и включение конкатенации THEN также не удалось. Это была команда, которую я использовал, а затем скопировал выход в AWS сертификата поле цепочки:
openssl x509 -inform PEM -in fake_domain.crt; openssl x509 -inform PEM -in fake_domain.ca-bundle
Как создать цепочку сертификатов правильно для балансировки нагрузки АМС?
Сколько сертификатов находится в файле пакета? Если 2 или более из них, то $ 5 говорит, что они собраны в обратном порядке. Если вы готовы совершить скачок веры, отмените порядок блоков сертификатов в комплекте с помощью текстового редактора и повторите попытку, и если это сработает, я объясню, как это можно очертить от содержимого файла; если это не сработает, то такое же объяснение поможет вам разобраться. –
Это единственный сертификат SSL для домена подстановочных знаков. Если я отменил порядок в файле пакета, мне все равно придется преобразовать этот файл в PEM для AWS, верно? И если это неверно, это не должно вызывать никаких проблем, я бы подумал ... – Taylor
Заказ имеет решающее значение. Помните, что это «цепочка» доверия. Ваш сертификат имеет ваш сайт в качестве предмета и имеет эмитента; первый сертификат в цепочке имеет такой эмитент, как субъект, и другой эмитент; следующая в цепочке имеет предшествующий эмитент как субъект, вниз по линии до тех пор, пока не встретится ЦС, находящееся в хранилище доверия. В обратном порядке «цепочка» сломана, поэтому * Индекс в цепочке недействительного сертификата: 1 *. Кроме того, я ожидал, что сертификаты уже будут в формате PEM. Я не думаю, что мне нужно было их преобразовать. –