Estou tentando fazer o upload do nosso certificado para o armazenamento de certificados da AWS para uso com o CloudFront.
Primeiro, tentei enviá-lo sem o pacote de correntes. Isso resultou em um erro quando tentei habilitá-lo no ponto de extremidade do CloudFront, dizendo que ele não tinha uma cadeia de certificados válida.
Por isso, tentei extrair a cadeia de certificados do arquivo PFX com o seguinte comando:
openssl pkcs12 -in archive.pfx -nodes -nokeys -cacerts -passin pass:password | openssl x509 -chain -out bundle.crt
Mas diz unknown option -chain Eu pesquisei muito no Google, mas toda vez que eu abro uma página que explica como extrair o pacote de cadeia, ele diz para usar a opção -chain .
Eu pensei que talvez fosse o suficiente apenas tentar enviar a saída do primeiro comando. Quando faço isso, o AWS-CLI diz o seguinte:
Unable to validate certificate chain. The certificate chain must start with the immediate signing certificate, followed by any intermediaries in order. The index within the chain of the invalid certificate is: -1
O OpenSSL não coloca os certificados na ordem correta ao despejar um keystore PKCS12, por incrível que pareça.
Envie os certificados para um arquivo PEM:
openssl pkcs12 -in archive.pfx -nodes -nokeys \
-passin pass:password -out chain.pem
Edite o arquivo depois para colocá-lo na ordem correta.
-chain é válido apenas para o subcomando pkcs12 e usado quando é criado um keystore PKCS12.