Não é possível obter a cadeia do Certificado de Soluções de Rede funcionando com o EC2 Elastic Load Balancer

Navegue suas respostas
3

Eu tenho um arquivo de certificado fornecido para mim, que é um nome de domínio curinga. Ele vem como uma chave e um arquivo crt. Nenhum outro arquivo foi fornecido.

Estou tendo problemas para fazer isso funcionar corretamente com o balanceador de carga elástico.

Eu tentei este pedido:

link

Com os certificados intermediários obtidos daqui: link

Eu também tentei o seguinte:

  • Soluções de rede Adicionar raiz de CA externa de confiança
  • Soluções de rede UTN Add Trust CA
  • CA do servidor de UTN de soluções de rede
  • CA Validação Estendida (EV) de soluções de rede
  • Certificado intermediário de soluções de rede
  • Raiz EV de soluções de rede

O erro que o ELB retorna é:

Unable to validate certificate chain. The certificate chain must start with the immediate signing certificate, followed by any intermediaries in order. The index within the chain of the invalid certificate is: -1

Há muita informação conflitante e desatualizada e nada parece funcionar. Como faço para que isso funcione?

Existe um método que eu possa usar com o OpenSSL para descobrir manualmente quais certificados eu preciso em cada etapa?

    
por Matt 11.11.2014 / 04:11

3 respostas

8

Acabei de resolver isso, a ordem correta para a cadeia de certificados é a seguinte: 

OV_NetworkSolutionsOVServerCA2
OV_USERTrustRSACertificationAuthority
AddTrustExternalCARoot

Boa sorte!

    
por 24.11.2014 / 23:35
13

Verifique se sua cadeia de certificados contém os certificados intermediário e raiz na ordem correta.

A melhor maneira de analisar o problema com o certificado da cadeia foi encontrada aqui: Servidor Web SSL do Wormly Test .

Eu iniciei a configuração SSL do Amazon ELB para meu domínio aqui: Certificado SSL para o Elastic Load Balancing .

Estou usando certificados SSL COMODO Instant. Então, eu peguei o pacote dos certificados em um arquivo zip. Quando eu extraí, ele contém quatro arquivos dentro dele, como: 

             1.AddTrustExternalCARoot {Root certificate}
             2.COMODORSAAddTrustCA    {intermediate certificate 1}
             3.COMODORSADomainValidationSecureServerCA {intermediate certificate 2}
             4.www_example_com   {public key for my domain name}

Observação: Precisamos converter o arquivo de certificado acima em formato .PEM , antes de usá-lo no Amazon ELB. Isso é feito usando o comando: 

             openssl x509 -inform PEM -in {above certificate file name}

Agora, fui para a parte Listeners do ELB para configurar HTTPS . ELB HTTPS tem três colchetes chamados: 

             1.Private Key {paste the private key which was generated using openSSL}
             2.Public Key Certificate {paste the public key of www_example_com certificate}
             3.Certificate Chain {paste the intermediate and Root certificate}

Na primeira tentativa, como a Amazon guiou a parte da Cadeia de Certificados é opcional. Eu continuei deixando em branco. Funcionou bem nos navegadores de PC. E o problema foi criado ao tentar abri-lo nos navegadores móveis do Android.

Eu encontrei a solução aqui: Configurando o SSL em um Amazon Elastic Load Balancer e Criando um arquivo .pem para instalações de certificado SSL .

Então, para evitar isso, incluí o certificado encadeado nesta ordem: 

             COMODORSADomainValidationSecureServerCA 
             COMODORSAAddTrustCA    
             AddTrustExternalCARoot

Copiei os três certificados acima, incluindo as tags Begin e End, no suporte de certificado de cadeia.

Agora está feito. Ótimo funcionou bem.  Agora, minha configuração SSL é mostrada 100% segura quando eu verifiquei com o Servidor Web SSL do Wormly Test .

Obrigado.

    
por 07.01.2015 / 15:05
0

apenas use o

  1. OV_NetworkSolutionsOVServerCA2
  2. OV_USERTrustRSACertificationAuthority

Arquivos

O arquivo AddTrustExternalCARoot não é necessário

    
por 15.11.2015 / 07:49

Tags

Desempenho do mainframe Bom firewall do linux? [fechadas]