¿Cómo cargo certificados SSL a mi equilibrador de carga clásico para evitar que los clientes reciban errores de «certificados no de confianza»?

5 minutos de lectura
0

La conexión SSL/TLS de un cliente a mi equilibrador de carga clásico falla y aparece un mensaje de error de que el certificado no es de confianza. También se producen errores cuando intento cargar certificados SSL/TLS al equilibrador de carga clásico.

Breve descripción

La conexión SSL/TLS de un cliente a un equilibrador de carga clásico puede fallar con mensajes de error similares a los siguientes:

  • «El certificado de seguridad presentado por el sitio web no lo emitió una entidad de certificación de confianza.»
  • «example.com usa un certificado de seguridad no válido. No se confía en el certificado porque el certificado emisor es desconocido.»
  • «example.com usa un certificado de seguridad no válido. No se confía en el certificado porque está autofirmado.»

Si utiliza agentes de escucha HTTPS/SSL para el equilibrador de carga clásico, tiene que instalar un certificado SSL. Tras instalar un certificado SSL, el equilibrador de carga clásico puede finalizar las conexiones de los clientes SSL/TLS.

El certificado SSL tiene un período de validez. Debe reemplazar el certificado antes de que finalice su período de validez. Para reemplazar el certificado, cree y cargue uno nuevo.

Si no carga una cadena de certificados intermedios para que la utilice el equilibrador de carga, es posible que el cliente web no valide el certificado. Utilice el comando openssl s_client para identificar si la cadena de certificados intermedios está cargada en el servicio AWS Identity and Access Management (IAM). El comando s_client implementa un cliente SSL/TLS genérico que usa SSL/TLS para conectarse a un host remoto. Ejecute el siguiente comando para conectarse a un host remoto:

openssl s_client -showcerts -connect www.domain.com:443

Si el comando devuelve «Verificar el código de devolución: 21 (no se puede verificar el primer certificado)», falta la cadena de certificados intermedios. Si el comando devuelve «Verificar el código de devolución: 0 (ok)», el certificado se ha cargado correctamente. Al cargar certificados SSL, los siguientes motivos pueden provocar errores:

  • Carga archivos de certificados o copia y pega certificados que contienen espacios en blanco adicionales.
  • Carga archivos de certificados o copia y pega certificados que no comienzan por -----BEGIN CERTIFICATE----- y terminan por**-----END CERTIFICATE-----**.
  • La clave pública no es válida.
  • La clave privada no es válida.
  • Hay problemas con el conjunto o la clave de cifrado.

Solución

Para resolver los errores de certificados que no son de confianza, cargue un certificado SSL para el equilibrador de carga. Reemplace el certificado antes de que finalice su período de validez.

Con AWS Certificate Manager (ACM), puede crear, importar y administrar certificados SSL/TLS. IAM admite la importación e implementación de certificados de servidores. ACM es la herramienta preferida para aprovisionar, administrar e implementar los certificados de servidores.

Para solucionar los errores que aparecen al cargar certificados SSL, siga estas instrucciones:

  • Cumpla con los requisitos previos para importar certificados.
  • Si usa IAM para cargar el certificado, siga los pasos para cargar un certificado de servidor (API de AWS).
  • Si usa ACM para importar el certificado, siga los pasos para importarlo.
  • Confirme que el certificado no contenga espacios en blanco adicionales.
  • Confirme que el certificado comience por**-----BEGIN CERTIFICATE-----** y termine por**-----END CERTIFICATE-----**.
  • Si el mensaje de error indica que el certificado de clave pública no es válido, el certificado de clave pública o la cadena de certificados no son válidos. Si el certificado se carga correctamente sin la cadena de certificados, la cadena de certificados no es válida. De lo contrario, el certificado de clave pública no es válido.

Si el certificado de clave pública no es válido, siga estos pasos:

  • Confirme que el certificado de clave pública esté en formato PEM X.509.
  • Para ver ejemplos de formatos válidos para los certificados, consulte Solución de problemas.

Si la cadena de certificados no es válida, siga estos pasos:

  • Confirme que la cadena de certificados no contenga su certificado de clave pública.
  • Confirme que la cadena de certificados utilice el orden correcto. La cadena de certificados debe incluir todos los certificados intermedios de la entidad de certificación (CA) que conducen al certificado raíz. La cadena de certificados comienza con el certificado que genera la CA y termina con el certificado raíz de la CA. Por lo general, una CA proporciona certificados intermedios y raíz en un archivo agrupado con el orden encadenado adecuado. Utilice los certificados intermedios que proporciona la CA. No incluya ningún certificado intermedio que no participe en la cadena de rutas de confianza.
  • Si el error indica que el certificado de clave privada no es válido, el certificado de clave privada no tiene el formato correcto. O bien, el certificado de clave privada está cifrado. Asegúrese de que el certificado de clave privada siga el formato del ejemplo de clave privada de Solución de problemas. Además, confirme que el certificado de clave privada no esté protegido con contraseña.

Información relacionada

Importar certificados a AWS Certificate Manager

Formato del certificado y de la clave para la importación

OFICIAL DE AWS
OFICIAL DE AWSActualizada hace 9 meses