Anath 向您演示如何
为您的负载均衡器
上传 SSL 证书

load-balancer-certificate-ananth

客户端与 Classic Load Balancer 的 SSL/TLS 连接失败,并且显示如下错误消息:

  • “The security certificate presented by this website was not issued by a trusted certificate authority.”(此网站提供的安全证书不是由可信证书颁发机构颁发的。)
  • "example.com uses an invalid security certificate. The certificate is not trusted because the issuer certificate is unknown.”(example.com 使用的安全证书无效。证书不可信,因为颁发机构的证书是未知的。)
  • "example.com uses an invalid security certificate.The certificate is not trusted because it is self signed.”(example.com 使用的安全证书无效。证书不可信,因为它是自签名证书。)

此外,在尝试将 SSL/TLS 证书上传到 Classic Load Balancer 时,可能也会遇到错误。

如果为 Classic Load Balancer 使用 HTTPS/SSL 侦听器,则必须安装 SSL 证书,以便 Classic Load Balancer 能够终止 SSL/TLS 客户端连接。

SSL 证书具有有效期限。您必须在其有效期限结束之前替换证书。要替换证书,您必须创建并上传新证书。

如果未上传供负载均衡器使用的中间证书链,则 Web 客户端可能无法验证您的证书。您可以使用 openssl s_client 命令来确定中间证书链是否已正确上传到此 ELB 的 IAM 服务。s_client 命令可实现使用 SSL/TLS 连接到远程主机的通用 SSL/TLS 客户端。如果命令 openssl s_client -showcerts -connect www.domain.com:443 返回“Verify return code: 21 (unable to verify the first certificate)”(验证返回代码: 21 [无法验证第一个证书]),则表明中间证书链丢失。

如果命令 openssl s_client -showcerts -connect www.domain.com:443 返回“Verify return code: 0 (ok)”(验证返回代码: 0 [正常]),则表明证书上传成功。

上传 SSL 证书时可能会遇到的错误通常属于以下类别之一:

  • 上传的证书文件或复制/粘贴的证书包含多余空格。
  • 上传的证书文件或复制/粘贴的证书不以“-----BEGIN CERTIFICATE-----”开头或不以“-----END CERTIFICATE-----”结尾。
  • 无效公有密钥错误。
  • 无效私有密钥错误。
  • 密码包/密钥问题。

要解决客户端向负载均衡器发起 SSL/TLS 连接时遇到的“不可信证书”错误,请按照用于 Elastic Load Balancing 的 SSL 证书中的说明上传供负载均衡器使用的 SSL 证书。此外,您必须按照更新负载均衡器的 SSL 证书中的说明在有效期结束前更换证书。

使用 AWS Certificate Manager (ACM) 可以创建、导入和管理 SSL/TLS 证书。AWS Identity and Access Management (IAM) 支持导入和部署服务器证书。ACM 是预置、管理和部署您的服务器证书的首选工具。

解决将签名服务器证书上传到 ACM 或 IAM 的问题的步骤

要解决上传 SSL 证书时遇到的错误,请遵循以下准则:

  • 确保满足向 IAM 上传签名服务器证书导入证书的先决条件中描述的上传签名服务器证书的所有要求。
  • 确保证书不包含多余空格。
  • 确保证书以“-----BEGIN CERTIFICATE-----”开头,并以“-----END CERTIFICATE-----”结尾。
  • 如果错误消息指示公钥证书无效,可能是公钥证书或证书链无效。如果证书成功上传,但没有证书链,则表明证书链无效。否则,表明公钥证书无效。

如果是公钥证书无效

  • 验证公钥证书是否为 X.509 PEM 格式。有关有效证书格式的示例,请参阅示例证书

如果是证书链无效

  • 验证证书链是否不包含您的公钥证书。
  • 验证证书链的顺序是否正确。证书链必须包含证书颁发机构 (CA) 出具的指向根证书的所有中间证书。证书链从您的 CA 生成的证书开始,到 CA 的根证书结束。通常,中间证书和根证书均由 CA 在一个捆绑文件中提供,并具有适当的串联顺序。使用您的 CA 提供的中间证书。信任路径的证书链中未涉及到的任何中间证书不得包含在其中。
  • 如果返回的错误指示私钥证书无效,可能是私钥证书格式有误或私钥证书已加密。确保私钥证书遵循证书范本中私钥示例的格式,并且私钥证书不受密码保护。向 IAM 上传签名服务器证书导入证书的先决条件中描述了签名服务器证书的要求。

此页面对您有帮助吗? |

返回 AWS Support 知识中心

需要帮助? 请访问 AWS 支持中心

发布时间:2015 年 5 月 18 日

更新时间:2018 年 2 月 22 日