Une connexion SSL/TLS à mon équilibreur de charge ELB (Elastic Load Balancing) affiche un message d'erreur similaire à celui-ci :

  • « The security certificate presented by this website was not issued by a trusted certificate authority. »
  • « www.testsite.com uses an invalid security certificate. The certificate is not trusted because the issuer certificate is unknown. »
  • « www.testsite.com uses an invalid security certificate. The certificate is not trusted because it is self signed. »

Si vous utilisez des écouteurs HTTPS/SSL pour votre équilibreur de charge, vous devez installer un certificat SSL pour permettre à ce dernier de traiter les connexions client SSL/TLS. L'équilibreur de charge exploite ce certificat pour authentifier les utilisateurs ou pour les connexions chiffrées.

La période de validité du certificat SSL est limitée. Veillez à le remplacer avant qu'il n'expire. Pour ce faire, créez et importez un nouveau certificat.

Si aucune chaîne de certificats intermédiaire n'a été importée pour votre équilibreur de charge, le client Web essaiera peut-être de valider les informations fournies dans le champ « Authority Information Access » du certificat.

Les erreurs que vous êtes susceptible de rencontrer lors de l'importation de certificats SSL entrent généralement dans les catégories suivantes :

  • Importation de fichiers de certificats ou copier-coller de certificats contenant des espaces superflus
  • Importation de fichiers de certificats ou copier-coller de certificats qui ne commencent pas par "-----BEGIN CERTIFICATE-----" et ne finissent pas par "-----END CERTIFICATE-----"
  • Clé publique non valide
  • Clé privée non valide
  • Problèmes au niveau des clés ou de la suite de chiffrement

Pour résoudre les erreurs de certificat non approuvé sur les clients qui initient des connexions SSL/TLS vers un équilibreur de charge, importez un certificat pour ce dernier en suivant la procédure décrite dans la section Certificats SSL pour Elastic Load Balancing. Vous devez également remplacer le certificat avant la fin de sa période de validité, conformément aux instructions répertoriés dans la section Mise à jour du certificat SSL de votre équilibreur de charge.

Pour résoudre les problèmes rencontrés lors de l'importation des certificats SSL, procédez comme suit :

  • Assurez-vous que vous respectez toutes les exigences décrites dans les sections Importation d'un certificat de serveur signé dans IAM et Importation du certificat signé lorsque vous importez des certificats de serveur signés.
  • Vérifiez que le certificat ne contient pas d'espace superflu.
  • Assurez-vous que le certificat commence par "-----BEGIN CERTIFICATE-----" et se termine par "-----END CERTIFICATE-----".
  • Si un message d'erreur indique que le certificat de la clé publique n'est pas valide, il est probable que le certificat de la clé publique ou la chaîne de certificats ne soit pas valide. Si l'importation du certificat fonctionne sans la chaîne de certificats, la chaîne de certificats n'est pas valide. Dans le cas contraire, c'est le certificat de la clé publique qui pose problème.

Si le certificat de la clé publique n'est pas valide

• Vérifiez que le certificat de la clé publique utilise le format PEM X.509. Cliquez ici pour consulter des exemples de formats de certificats valides.

Si la chaîne de certificats n'est pas valide

• Vérifiez que la chaîne de certificats ne contient pas le certificat de la clé publique.

• Vérifiez que la chaîne de certificats utilise l'ordre correct : tous les certificats intermédiaires de l'autorité de certification doivent mener au certificat racine. La chaîne de certificats commence par le certificat généré par l'autorité de certification et se termine par le certificat racine de l'autorité de certification. En règle générale, les certificats intermédiaires et racine sont fournis par une autorité de certification dans un fichier compressé contenant l'ordre approprié de certificats. Utilisez les certificats intermédiaires fournis par l'autorité de certification. Tous les autres certificats intermédiaires non approuvés doivent être exclus.

  • Si un message d'erreur indique que le certificat de la clé privée n'est pas valide, il est probable que le format du certificat de la clé privée soit inapproprié ou que ce certificat soit chiffré. Assurez-vous que le format du certificat de la clé privée respecte le format indiqué dans les exemples de certificats et que le certificat n'est pas protégé par un mot de passe.

ELB, équilibreur de charge, SSL, certificat de serveur signé, non valide, chaîne de certificats, intermédiaire, clé publique, clé privée, suite, chiffrement, RSA, DSA, IAM


Cette page vous a-t-elle été utile ? Oui | Non

Retour au Centre de connaissances AWS Support

Vous avez besoin d'aide ? Consultez le site du Centre AWS Support.