Không thể thêm trình nghe SSL, không tìm thấy Chứng chỉ máy chủ cho khóa

Tôi đang cố gắng thiết lập SSL trên bộ cân bằng tải của mình với chứng chỉ tôi đã mua từ GoDaddy.

Khi cố gắng tải lên chứng chỉ trong bảng điều khiển, tôi đã gặp lỗi

Không thể tạo bộ cân bằng tải: Không tìm thấy chứng chỉ máy chủ cho khóa: arn: aws: iam :: ************: chứng chỉ máy chủ / mycert

Tôi chưa bao giờ gặp phải lỗi này trước đây khi thêm chứng chỉ SSL. Tôi không chắc tại sao iamthậm chí được sử dụng ở đây.

Sau một số Googling, tôi đã có thể tải lên chứng chỉ của mình để iamsử dụng aws cli (một lần nữa, không chắc tại sao tôi phải làm điều này).

Bây giờ khi sửa đổi trình nghe, tôi có thể thấy chứng chỉ đã tải lên của mình dưới dạng chứng chỉ SSL hiện có. Tuy nhiên, khi tôi cố lưu các thay đổi của mình vào bộ cân bằng tải, tôi cũng gặp lỗi tương tự. Tôi đã xác minh rằng chứng chỉ tồn tại:

$ aws iam list-server-certificates
{
    "ServerCertificateMetadataList": [
        {
            "ServerCertificateId": "*********************", 
            "ServerCertificateName": "mycert", 
            "Expiration": "2018-11-19T18:47:38Z", 
            "Path": "/", 
            "Arn": "arn:aws:iam::************:server-certificate/mycert", 
            "UploadDate": "2015-11-19T19:23:32Z"
        }
    ]
}

(Tôi đã xác minh số tài khoản bị xáo trộn ở đây giống như trong lỗi)

Từ đây tôi bị kẹt. Tại sao tôi không thể áp dụng chứng chỉ của mình cho bộ cân bằng tải này?

Chỉnh sửa ngày 19 tháng 11 11:47:18 PST 2015

Sau khi chờ đợi một lúc và đăng xuất và đăng nhập, tôi đã có thể cập nhật trình nghe bằng chứng chỉ SSL của mình. Tuy nhiên, nó dường như không hoạt động chính xác. Khi cố gắng tải tên miền của tôi qua HTTPSthời gian yêu cầu. Có vẻ như nó không thể tải chứng chỉ

$ echo | openssl s_client -connect www.example.com:443 2>/dev/null | openssl x509 -noout -subject
unable to load certificate
69457:error:0906D06C:PEM routines:PEM_read_bio:no start line:/SourceCache/OpenSSL098/OpenSSL098-52.30.1/src/crypto/pem/pem_lib.c:648:Expecting: TRUSTED CERTIFICATE

Tôi gặp phải vấn đề tương tự khi cố gắng tạo ELB từ bảng điều khiển web. Tôi đã cố gắng tạo một tải lên một chứng chỉ mới ở đó thông qua GUI và cuối cùng nó đã thất bại với cùng một lỗi. Tôi đã giải quyết nó bằng cách tải lên các tệp chứng chỉ riêng biệt thông qua aws cli. Nó được giải thích trong tài liệu này - http://docs.aws.amazon.com/ElasticLoadBalANCE/latest/DeveloperGuide/ssl-server-cert.html#upload-cert

Tải lên chứng chỉ, khóa riêng và chuỗi chứng chỉ như thế này

aws iam upload-server-certificate --server-certificate-name my-server-cert \
  --certificate-body file://my-certificate.pem --private-key file://my-private-key.pem \
  --certificate-chain file://my-certificate-chain.pem

Sau đó, đi đến bảng điều khiển web và chọn tùy chọn "Chọn chứng chỉ hiện có từ AWS Nhận dạng và Quản lý truy cập (IAM)" và chọn cặp chứng chỉ vừa được tải lên. Nó sẽ hoạt động tốt sau đó.

Lỗi là sai lệch. Nó không tải lên các chứng chỉ. Khi bạn nhận được lỗi thoát đó, hãy quay lại để thay đổi. Chọn chứng chỉ IAM hiện có và nhấp vào trình đơn thả xuống - bạn sẽ thấy chứng chỉ mới ở đó.

Tôi đã có cùng một vấn đề nhưng rất may quản lý để giải quyết nó mà không cần phải nhấn CLI. Tôi đã nhận ELB để thêm trình nghe HTTPS bằng cách dán chuỗi chứng chỉ trong trường chứng chỉ khóa công khai , sau chính chứng chỉ.

Lỗi chỉ biểu hiện khi chuỗi chứng chỉ được dán vào hộp nhập chuỗi chứng chỉ của chính nó trong bảng điều khiển (được đánh dấu tùy chọn). Không thực sự chắc chắn lý do tại sao điều này tạo ra sự khác biệt nhưng nó đã tạo ra trình nghe HTTPS trên ELB và tất cả đều tốt.

Đó là do ký tự đặc biệt trong Tên chứng chỉ :. (Dấu chấm) trong trường hợp của tôi. Mọi thứ đều hoạt động tốt sau khi xóa tất cả các dấu chấm khỏi tên chứng chỉ

Tôi chỉ đánh cái này, quá. Đã thử năm lần để tạo ELB mới và lần nào cũng thất bại. Chưa bao giờ thử biến thể API, nhưng tôi đã quản lý để đặt chứng chỉ SSL theo

1. Đầu tiên tạo ELB; sau đó
2. sửa đổi người nghe bằng cách thay đổi từ HTTP sang HTTPS và tải lên chứng chỉ + khóa + trung gian của tôi.

Tôi phải đối mặt với cùng một vấn đề. Trong trường hợp của tôi, tôi đã gặp lỗi "Không tìm thấy chứng chỉ máy chủ cho khóa" khi tải lên chứng chỉ SSL nhưng cuối cùng chúng được tải lên và hiển thị trong trình đơn thả xuống. Tôi không nhận được bất kỳ lỗi nào khi tải lên qua CLI. Khi tôi liên hệ với bộ phận hỗ trợ của AWS, họ đã cho tôi biết lý do lỗi dưới đây

Lý do cho điều này xảy ra là sự nhất quán cuối cùng. Các chứng chỉ được tải lên được lưu trữ trong IAM. Vì IAM có một cơ sở dữ liệu lớn, chứng chỉ được tải lên phải được truyền qua tất cả các cơ sở dữ liệu. Nếu không có đủ thời gian để tuyên truyền, ELB đang cố gắng tìm nạp chứng chỉ này sẽ không thể tìm thấy nó ở điểm cuối mà nó đang truy vấn. Do đó ném "Chứng chỉ máy chủ không tìm thấy cho khóa". Khi cuối cùng nó được truyền bá, sau này nó có thể xem nó như một chứng chỉ đã được tải lên

Tôi đã khắc phục điều này bằng cách đi đến trình quản lý chứng chỉ trong bảng điều khiển aws và tải lên đó trước. Sau đó, sử dụng trình hướng dẫn cân bằng tải và chọn chứng chỉ tôi đã tải lên.

Vấn đề tương tự ở đây khi sử dụng giao diện web AWS: Tôi đã tải lên một chứng chỉ hợp lệ, khóa chính xác và chuỗi hoàn chỉnh nhưng gặp lỗi đã đề cập ở trên.

Tôi đã cố gắng tải lên chứng chỉ lên một bộ cân bằng tải (thử nghiệm) khác. Quá trình tải lên hoạt động, nhưng trạng thái người nghe sau đó nói: "Chứng chỉ không hợp lệ".

Khi tôi mở lại đoạn hội thoại "Chọn chứng chỉ", không có chứng chỉ nào được chọn. Nhưng rõ ràng chứng chỉ đã được tải lên một cách chính xác, bởi vì tôi có thể chọn nó trong danh sách certificat.

Vì vậy, trở lại bộ cân bằng tải ban đầu của tôi, tôi đã cố gắng gán chứng chỉ đã tải lên này, điều kỳ lạ bây giờ: nó không có trong danh sách. Tôi đã thử nó và tải lên chứng chỉ và khóa của nó nhưng bỏ qua chuỗi chứng chỉ. Điều này đã làm việc, vì vậy tôi biết nó phải là chuỗi, điều đó không chính xác (đó là một chứng nhận hàng hóa). Tôi đã tải lại chuỗi từ trang chính thức, tải lên toàn bộ gói và nó hoạt động. Điều kỳ lạ bây giờ: Khi tôi so sánh cả hai - cái bị hỏng và cái mới được tải xuống, chúng có vẻ giống nhau. Cùng ngày, cùng nối tiếp, giống nhau. Nhưng khác nhau.

Câu chuyện dài: Nó hoạt động bằng cách tải lại các chứng chỉ trung gian.

Tôi đã có vấn đề tương tự và cuối cùng đã khắc phục nó trong Nhóm bảo mật cho bộ cân bằng tải và đảm bảo rằng cổng 443 đã được mở.

Trước khi tạo bộ cân bằng tải Cổ điển, bạn cần tạo AMI (Hình ảnh của cá thể bạn đang sản xuất) Với phần này, hãy vào phần cài đặt tạo bộ cân bằng tải và thực hiện lại quy trình và sau đó là các chứng chỉ được cung cấp và tất cả đều ổn trong trường hợp của tôi.

Tôi phá vỡ điều này bằng cách không điền vào trường Chuỗi chứng chỉ tùy chọn .

Tôi gặp vấn đề tương tự nếu tôi đang tải lên một chứng chỉ trực tiếp.

Nếu tôi đã sử dụng Trình quản lý chứng chỉ (Trình quản lý chứng chỉ AWS - ACM), tôi có thể tải lên chứng chỉ. Sau đó tôi chỉ có thể chọn chứng chỉ trong danh sách thả xuống.