Cadeia de Certificados com Certs AWS ELB & GoDaddy

3

Estou tentando configurar o SSL no meu AWS ELB, mas até agora não consegui descobrir o que entra no campo "Cadeia de Certificados". Eu recebo o seguinte erro:

Unable to validate certificate chain. The certificate chain must start with the immediate signing certificate, followed by any intermediaries in order. The index within the chain of the invalid certificate is: -1

Eu tenho minha chave privada & certificado no formato PEM e carregado. Se eu usá-los sem a cadeia "opcional", ele funciona de forma não confiável. Eu tenho andado por aí, tentando encontrar uma resposta sobre o que colocar em campo, e esta resposta sugere o download de gd_bundle-g2.crt - Eu fiz isso e o converti em PEM executando openssl x509 -inform PEM -in gd_bundle-g2.crt , mas o erro permanece. Quando baixei meu certificado da GoDaddy, recebi um CEP com meu certificado SSL junto com gdig2.crt e gd_bundle-g2-g1.crt . Eu tentei usar esses arquivos em várias combinações e sozinho, mas novamente, nada.

Quais certificados entram na Cadeia de Certificados, em que ordem e em que formato?

    
por Glenn Nelson 17.03.2015 / 15:52

3 respostas

4

Então o problema foi vários erros ao longo do caminho para mim. Primeiro, peguei a seção -----BEGIN CERTIFICATE----- do PEM gerado do meu keystore keytool . Em segundo lugar, eu estava tentando converter o arquivo gd_bundle-g2-g1.crt - ele já continha exatamente o que eu precisava usar.

Para começar do início - usei o Java Keytool do Digicert para gerar meus comandos para obter meu keystore e CSR usando keytool . De lá, recebi um certificado SSL curinga através do GoDaddy e baixei meu certificado que estava em um arquivo ZIP junto com gdig.crt e gd_bundle-g2-g1.crt . Depois disso, segui os passos para obter a chave privada do meu armazenamento de chaves após essa resposta do StackOverflow . No entanto, o arquivo foo.pem desse comando exigiu mais um comando , openssl rsa -in foo.pem -out foo.rsa para obter a forma final aceita pelo Painel da AWS.

Agora, preencha o formulário SSL na AWS:

  • Chave privada: o conteúdo do arquivo foo.rsa da etapa anterior.
  • Certificado de chave pública: o conteúdo do arquivo <your_cert>.crt fornecido pelo GoDaddy
  • Cadeia de certificados: o conteúdo do arquivo gd_bundle-g2-g1.crt fornecido pelo GoDaddy

Isso me deu uma configuração de certificado SSL bem-sucedida para meu AWS ELB, com o caminho de certificado adequado, fornecendo um certificado confiável.

    
por 17.03.2015 / 20:45
2

Não é um processo trivial e a documentação não é boa.

Esta versão do processo usando Os certificados SSL do Gandi.net podem ajudá-lo a trabalhar, é muito melhor do que os documentos oficiais

link

    
por 17.03.2015 / 16:11
0

É importante observar que os certificados intermediários não são específicos do seu domínio ou certificado. Assim, cada certificado emitido como o seu tem os mesmos certificados intermediários.

Você pode pensar neles um pouco como o número de roteamento em seus cheques. O número de roteamento é necessário, mas realmente diz mais sobre seu banco do que sobre você. Seu número de conta ou seu certificado, neste caso, é exclusivo de você.

Devido à natureza genérica dos certificados intermediários, existem sites como este:

link

Que possuem todos os certificados intermediários pré-agrupados (e na ordem correta) para diferentes emissores de certificados.

    
por 22.05.2017 / 22:08