Comment télécharger des certificats SSL pour mon Classic Load Balancer pour empêcher les clients de recevoir des erreurs de « certificat non approuvé » ?

Date de la dernière mise à jour : 03/12/2020

Une connexion SSL/TLS client à mon Classic Load Balancer échoue avec un message d'erreur similaire au suivant :

  • « Le certificat de sécurité présenté par ce site web n'a pas été émis par une autorité de certification de confiance. »
  • « example.com utilise un certificat de sécurité non valide. Le certificat n'est pas approuvé, car le certificat émetteur est inconnu. »
  • « example.com utilise un certificat de sécurité non valide. Le certificat n'est pas approuvé, car il est auto-signé. »

Des erreurs se produisent également lorsque j’essaie de charger de certificats SSL/TLS sur mon Classic Load Balancer. Comment puis-je corriger ce problème ?

Brève description

Si vous utilisez des écouteurs HTTP/SSL pour votre Classic Load Balancer, vous devez installer un certificat SSL. L'installation d'un certificat SSL permet à votre Classic Load Balancer de mettre fin aux connexions client SSL/TLS.

La période de validité du certificat SSL est limitée. Vous devez remplacer le certificat avant la fin de sa période de validité. Pour ce faire, créez et importez un nouveau certificat.

Si une chaîne de certificats intermédiaire n'est pas téléchargée pour être utilisée par votre équilibreur de charge, le client web peut ne pas valider votre certificat. Vous pouvez utiliser la commande openssl s_client pour identifier si la chaîne de certificats intermédiaire est téléchargée sur le service AWS Identity and Access Management (IAM). La commande s_client met en place un client SSL/TLS générique qui se connecte à un hôte à distance à l'aide de SSL/TLS. Si la commande openssl s_client -showcerts -connect www.domain.com:443 renvoie « Vérifier le code de retour : 21 (impossible de vérifier le premier certificat) », alors la chaîne de certificat intermédiaire est manquante.

Si la commande openssl s_client -showcerts -connect www.domain.com:443 renvoie « Vérifier le code de retour : 0 (ok) », alors le téléchargement du certificat a réussi.

Les erreurs qui sont susceptibles de se produire lors du chargement de certificats SSL entrent généralement dans les catégories suivantes :

  • Importation de fichiers de certificats ou copier-coller de certificats contenant des espaces superflus
  • Importation de fichiers de certificats ou copier-coller de certificats qui ne commencent pas par « -----BEGIN CERTIFICATE----- » et ne finissent pas par « -----END CERTIFICATE----- »
  • Erreurs de clé publique non valide
  • Erreurs de clé privée non valide
  • Problèmes au niveau des clés ou de la suite de chiffrement

Résolution

Pour résoudre les erreurs de certificat non approuvés, chargez un certificat SSL pour votre équilibreur de charge. Assurez-vous également de remplacer le certificat avant la fin de sa période de validité.

Avec AWS Certificate Manager (ACM), vous pouvez créer, importer et gérer des certificats SSL/TLS. IAM prend en charge l'importation et le déploiement de certificats de serveur. ACM est l'outil privilégié pour allouer, gérer et déployer vos certificats de serveur.

Pour résoudre les problèmes rencontrés lors de l'importation des certificats SSL, procédez comme suit :

  • Complétez les prérequis pour l'importation de certificats.
  • Si vous utilisez IAM pour charger le certificat, suivez les étapes pour charger un certificat de serveur (AWS API).
  • Si vous utilisez ACM pour importer le certificat, suivez les étapes pour importer un certificat.
  • Confirmez que le certificat ne contient pas d'espace superflu.
  • Confirmez que le certificat commence par « -----BEGIN CERTIFICATE----- » et se termine par « -----END CERTIFICATE----- ».
  • Si un message d'erreur indique que le certificat de la clé publique n'est pas valide, alors il est probable que le certificat de la clé publique ou la chaîne de certificats ne soit pas valide. Si le certificat est chargé avec succès sans la chaîne de certificats, la chaîne de certificats n'est pas valide. Sinon, le certificat de la clé publique n'est pas valide.

Si le certificat de la clé publique n'est pas valide :

  • Confirmez que le certificat de la clé publique utilise le format X.509 PEM.
  • Pour obtenir des exemples de formats de certificats valides, reportez-vous à la section Dépannage.

Si la chaîne de certificats n'est pas valide :

  • Confirmez que la chaîne de certificats ne contient pas le certificat de la clé publique.
  • Confirmez que la chaîne de certificats utilise l’ordre approprié. La chaîne de certificats doit inclure tous les certificats intermédiaires de votre autorité de certification qui mènent au certificat racine. La chaîne de certificats commence par le certificat généré par votre autorité de certification et se termine par le certificat racine de votre autorité de certification. En règle générale, les certificats intermédiaires et racine sont fournis par une autorité de certification dans un fichier compressé contenant l'ordre approprié de certificats. Utilisez les certificats intermédiaires fournis par votre autorité de certification. N'incluez pas de certificats intermédiaires qui ne sont pas impliqués dans le chemin de la chaîne de confiance.
  • Si une erreur indique que le certificat de la clé privée n'est pas valide, alors il est probable que le format du certificat de la clé privée ne soit pas approprié ou que ce certificat soit chiffré. Assurez-vous que le certificat de la clé privée suit le format de l'exemple de clé privée dans Dépannage. Confirmez également que le certificat de la clé privée n'est pas protégé par mot de passe. Pour plus d'informations, consultez :

Cet article vous a-t-il été utile ?


Besoin d'aide pour une question technique ou de facturation ?