Comment installer des certificats intermédiaires (dans AWS)?
J'ai installé une clé privée (encodée pem) et un certificat de clé publique (encodé pem) sur Amazon Load Balancer. Cependant, lorsque je vérifie le SSL avec outil de test de site , j'obtiens l'erreur suivante:
Erreur lors de la vérification du certificat SSL !! Impossible d'obtenir l'émetteur local du certificat. L'émetteur d'un certificat recherché localement est introuvable. Normalement, cela indique que tous les certificats intermédiaires ne sont pas installés sur le serveur.
J'ai converti le fichier crt en pem en utilisant ces commandes de ce tutoriel :
openssl x509 -in input.crt -out input.der -outform DER
openssl x509 -in input.der -inform DER -out output.pem -outform PEM
Lors de la configuration d'Amazon Load Balancer, la seule option que j'ai laissée de côté était la chaîne de certificats. (codé pem) Cependant, c'était facultatif. Serait-ce la cause de mon problème? Et si oui; Comment créer une chaîne de certificats?
[~ # ~] mise à jour [~ # ~]
Si vous faites une demande à VeriSign, ils vous fourniront une chaîne de certificats. Cette chaîne comprend le crt public, le crt intermédiaire et le crt racine. Assurez-vous de supprimer le crt public de votre chaîne de certificats (qui est le plus haut certificat) avant de l'ajouter à votre boîte de chaîne de certification de votre Amazon Load Balancer.
Si vous effectuez des requêtes HTTPS à partir d'une application Android, les instructions ci-dessus peuvent ne pas fonctionner pour les anciens systèmes d'exploitation Android tels que 2.1 et 2.2. Pour le faire fonctionner sur ancien Android OS:
- allez ici
- cliquez sur l'onglet "retail ssl" puis sur "site sécurisé"> "CA Bundle for Apache Server"
- copier et coller ces certificats intermédiaires dans la boîte de chaîne de certificats. au cas où vous ne l'auriez pas trouvé voici le lien direct .
Si vous utilisez des certificats de confiance géographique, la solution est sensiblement la même pour les appareils Android, cependant, vous devez copier et coller leurs certificats intermédiaires pour Android.
concaténer les fichiers fournis manuellement, dans l'ordre suivant:
- site.com.crt
- intermediaire.crt (un ou plusieurs, l'ordre de ceux-ci n'a pas d'importance)
- ROOT.crt
vous pouvez le faire à partir d'un shell avec la commande cat
cat site.com intermediate.crt ROOT.crt > site.chain.pem
ou copiez/collez-les, aucun espace entre les deux, assurez-vous que les certificats sont sur des lignes différentes
-----BEGIN CERTIFICATE-----
site cert
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
intermediate cert
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
root cert
-----END CERTIFICATE-----
J'ai eu des problèmes avec mon certificat rapid-ssl; selon
Je pourrais le réparer en inversant les certificats dans le bundle CA:
Problème
Lors de l'installation d'un certificat SSL dans Amazon Web Service (AWS) - appareil Amazon EC2, vous pouvez recevoir le message d'erreur suivant.
Erreur: certificat de clé publique non valide. Cause Ce problème peut se produire sur Amazon Web Service (AWS) - appareil Amazon EC2 lorsque l'une des conditions suivantes est remplie.
RapidSSL Intermediate CA bundle certificate is not installed on Amazon Web Service (AWS) - > Amazon EC2 device RapidSSL Intermediate CA bundle certificate is installed on Amazon Web Service (AWS) - Amazon > EC2 device but the CA bundle required needs to be installed in reversed orderRésolution
Pour résoudre l'erreur d'installation du certificat RapidSSL à l'aide d'Amazon Web Service (AWS) - appareil Amazon EC2, procédez comme suit.
Étape 1: Télécharger le certificat de bundle CA intermédiaire
Pour télécharger le certificat de bundle CA intermédiaire, reportez-vous à l'article AR1548
Lorsque vous visualisez le bundle CA, vous verrez deux certificats empilés les uns sur les autres. Ces deux certificats devront être échangés. Le certificat supérieur doit être placé en bas et le certificat inférieur doit être placé en haut.
...
J'ai dû passer par le même problème. Juste en téléchargeant un fichier pem avec ce qui suit semble résoudre le problème. Il n'aimait pas le site cert au sommet
-----BEGIN CERTIFICATE-----
intermediate cert
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
root cert
-----END CERTIFICATE-----
Pour les certificats émis par Comodo
Private Key: private_key.text
Public Key Certificate: yourdomain.crt
Certificate Chain: combine these 2
cat COMODORSADomainValidationSecureServerCA.crt COMODORSAAddTrustCA.crt > certchain.txt
(or paste in COMODORSADomainValidationSecureServerCA.crt first followd by COMODORSAAddTrustCA.crt)
Moi aussi, j'ai acheté un certificat RapidSSL et j'ai eu du mal avec l'erreur "Invalid Public Key Certificate". J'ai essayé tout ce qui est répertorié ici, y compris inverser les certificats de chaîne, les annuler, les ajouter au certificat du serveur principal, etc.
En fin de compte, je n'ai tout simplement pas pu faire disparaître l'erreur. J'ai donc trouvé une autre façon de télécharger un certificat sur Amazon pour l'utiliser avec l'équilibreur de charge (Elastic Beanstalk): il existe en fait une interface graphique qui permet de télécharger des certificats!
Il se trouve dans EC2 -> Load Balancers -> Sélectionnez votre équilibreur de charge -> Listnerers (onglet) -> Sélectionnez HTTPS dans le menu déroulant -> Cliquez sur Sélectionner sous l'onglet Certificat SSL et un formulaire apparaît qui vous permet de télécharger votre certificat!
Une fois que j'ai collé les fichiers là-dedans, cela a fonctionné comme un charme!