如何为我的 Classic Load Balancer 上传 SSL 证书以防客户端收到“不可信证书”错误?

上次更新日期:2020 年 12 月 3 日

客户端与我的 Classic Load Balancer 的 SSL/TLS 连接失败,并且显示如下错误消息:

  • “The security certificate presented by this website was not issued by a trusted certificate authority.”
  • "example.com uses an invalid security certificate.The certificate is not trusted because the issuer certificate is unknown.”
  • "example.com uses an invalid security certificate.The certificate is not trusted because it is self signed.”

我在将 SSL/TLS 证书上传到 Classic Load Balancer 时,也会遇到错误。如何修复此问题?

简短描述

如果您将 HTTPS/SSL 侦听器用于您的 Classic Load Balancer,您必须安装 SSL 证书。安装 SSL 证书可使您的 Classic Load Balancer 终止 SSL/TLS 客户端连接。

SSL 证书具有有效期限。您必须在其有效期限结束之前替换证书。要替换证书,您必须创建并上传新证书。

如果未上传供负载均衡器使用的中间证书链,则 Web 客户端可能无法验证您的证书。您可以使用 openssl s_client 命令确定中间证书链是否已上传到 AWS Identity and Access Management (IAM) 服务。s_client 命令可实现使用 SSL/TLS 连接到远程主机的通用 SSL/TLS 客户端。如果命令 openssl s_client -showcerts -connect www.domain.com:443 返回“Verify return code: 21 (unable to verify the first certificate)”(验证返回代码:21(无法验证第一个证书)),则中间证书链丢失。

如果命令 openssl s_client -showcerts -connect www.domain.com:443 返回“Verify return code: 0 (ok)”(验证返回代码:0(正常)),则证书上传成功。

上传 SSL 证书时可能会遇到的错误通常属于以下类别之一:

  • 上传的证书文件或复制/粘贴的证书包含多余空格
  • 上传的证书文件或复制/粘贴的证书开头不为“ -----BEGIN CERTIFICATE----- ”或结尾不为“-----END CERTIFICATE-----”
  • 无效公有密钥错误
  • 无效私有密钥错误
  • 密码包或密钥问题

解决方法

要解决不可信的证书错误,请为您的负载均衡器上传 SSL 证书。同时,务必在其有效期限结束之前替换证书

使用 AWS Certificate Manager (ACM),您可以创建、导入和管理 SSL/TLS 证书。IAM 支持导入和部署服务器证书。ACM 是预置、管理和部署您的服务器证书的首选工具。

要解决上传 SSL 证书时遇到的错误,请遵循以下准则:

  • 完成导入证书的先决条件
  • 如果您使用 IAM 上传证书,请按照步骤上传服务器证书 (AWS API)
  • 如果您使用 ACM 导入证书,请按照步骤导入证书
  • 确认证书不包含多余的空格。
  • 确认证书以“-----BEGIN CERTIFICATE-----”开头,并以“-----END CERTIFICATE-----”结尾。
  • 如果错误消息指示公钥证书无效,则可能是公钥证书或证书链无效。如果证书成功上传,但没有证书链,则表明证书链无效。否则,表明公钥证书无效。

如果是公钥证书无效:

  • 确认公钥证书为 X.509 PEM 格式。
  • 有关有效证书格式的示例,请参阅问题排查

如果是证书链无效:

  • 确认证书链不包含您的公钥证书。
  • 确认证书链的顺序是否正确。证书链必须包含证书颁发机构 (CA) 出具的指向根证书的所有中间证书。证书链从您的 CA 生成的证书开始,到 CA 的根证书结束。通常,中间证书和根证书均由 CA 在一个捆绑文件中提供,并具有适当的串联顺序。使用您的 CA 提供的中间证书。不得包含信任路径的证书链中未涉及到的任何中间证书。
  • 如果错误指示私钥证书无效,可能是私钥证书格式有误或私钥证书已加密。请确保私钥证书遵循问题排查中的私钥示例格式。此外,请确认私钥证书未受密码保护。有关更多信息,请参阅:

这篇文章对您有帮助吗?


您是否需要账单或技术支持?