Anath vous montre comment
importer un certificat SSL
pour votre équilibreur de charge

load-balancer-certificate-ananth

Une connexion SSL/TLS à votre Classic Load Balancer échoue avec un message d'erreur semblable à ce qui suit :

  • « The security certificate presented by this website was not issued by a trusted certificate authority. »
  • « exemple.com uses an invalid security certificate. The certificate is not trusted because the issuer certificate is unknown. »
  • « exemple.com uses an invalid security certificate. The certificate is not trusted because it is self signed. »

De plus, vous pouvez rencontrer des erreurs au cours d'une tentative d'importation de vos certificats SSL/TLS sur votre Classic Load Balancer.

Si vous utilisez des écouteurs HTTPS/SSL pour votre Classic Load Balancer, vous devez installer un certificat SSL pour permettre à ce dernier de résilier les connexions client SSL/TLS.

La période de validité du certificat SSL est limitée. Veillez à le remplacer avant qu'il n'expire. Pour ce faire, créez et importez un nouveau certificat.

Si une chaîne de certificats intermédiaire n'est pas importée pour une utilisation par votre équilibreur de charge, la validation de votre certificat par le client Web peut échouer. Vous pouvez utiliser la commande openssl s_client pour vérifier l'importation de la chaîne de certificats intermédiaire dans le service IAM pour cet ELB. La commande s_client implémente un client SSL/TLS générique qui se connecte à un hôte distant à l'aide de SSL/TLS. Si la commande openssl s_client -showcerts -connect www.domain.com:443 renvoie « Verify return code: 21 (unable to verify the first certificate) », la chaîne de certificats intermédiaire est absente.

Si la commande openssl s_client -showcerts -connect www.domain.com:443 renvoie « Verify return code: 0 (ok) », le chargement de la chaîne de certificats intermédiaire a fonctionné.

Les erreurs que vous êtes susceptible de rencontrer lors de l'importation de certificats SSL entrent généralement dans les catégories suivantes :

  • Importation de fichiers de certificats ou copier-coller de certificats contenant des espaces superflues
  • Importation de fichiers de certificats ou copier-coller de certificats qui ne commencent pas par « -----BEGIN CERTIFICATE----- » et ne finissent pas par « -----END CERTIFICATE----- »
  • Clé publique non valide
  • Clé privée non valide
  • Problèmes au niveau des clés ou de la suite de chiffrement

Pour résoudre les erreurs de certificat non approuvé sur les clients qui initient des connexions SSL/TLS vers un équilibreur de charge, importez un certificat pour ce dernier en suivant la procédure décrite dans la section Certificats SSL pour Elastic Load Balancing. Vous devez également remplacer le certificat avant la fin de sa période de validité, conformément aux instructions répertoriés dans la section Mise à jour du certificat SSL de votre équilibreur de charge.

AWS Certificate Manager (ACM) vous permet de créer, importer et gérer des certificats SSL/TLS. AWS Identity and Access Management (IAM) prend en charge l'importation et le déploiement de certificats de serveurs. ACM est l'outil préféré pour mettre en service, gérer et déployer vos certificats de serveur.

Pour résoudre les problèmes de chargement de certificats de serveurs signés vers ACM ou IAM

Pour résoudre les problèmes rencontrés lors de l'importation des certificats SSL, procédez comme suit :

  • Assurez-vous de respecter toutes les exigences décrites dans les sections Importation d'un certificat de serveur signé dans IAM et Prérequis à l'importation de certificats lorsque vous importez des certificats de serveur signés.
  • Vérifiez que le certificat ne contient pas d'espace superflue.
  • Assurez-vous que le certificat commence par « -----BEGIN CERTIFICATE----- » et se termine par « -----END CERTIFICATE----- ».
  • Si un message d'erreur indique que le certificat de la clé publique n'est pas valide, il est probable que le certificat de la clé publique ou la chaîne de certificats ne soit pas valide. Si l'importation du certificat se termine sans la chaîne de certificats, la chaîne de certificats n'est pas valide. Sinon, le certificat de la clé publique n'est pas valide.

Si le certificat de la clé publique n'est pas valide

  • Vérifiez que le certificat de la clé publique utilise le format PEM X.509. Cliquez ici pour consulter des exemples de formats de certificats valides.

Si la chaîne de certificats n'est pas valide

  • Vérifiez que la chaîne de certificats ne contient pas le certificat de la clé publique.
  • Vérifiez que la chaîne de certificats utilise l'ordre adéquat. La chaîne de certificats doit inclure l'ensemble des certificats intermédiaires de votre autorité de certification menant au certificat racine. La chaîne de certificats commence par le certificat généré par l'autorité de certification et se termine par le certificat racine de l'autorité de certification. En règle générale, les certificats intermédiaires et racine sont fournis par une autorité de certification dans un fichier compressé contenant l'ordre approprié de certificats. Utilisez les certificats intermédiaires fournis par l'autorité de certification. Tous les autres certificats intermédiaires non approuvés doivent être exclus.
  • Si un message d'erreur indique que le certificat de la clé privée n'est pas valide, il est probable que le format du certificat de la clé privée soit inapproprié ou que ce certificat soit chiffré. Assurez-vous que le format du certificat de la clé privée respecte le format indiqué dans les exemples de certificats et que le certificat n'est pas protégé par un mot de passe. Les exigences relatives aux certificats de serveurs signés sont présentées dans les sections Importation d'un certificat de serveur signé dans IAM et Prérequis à l'importation de certificats.

Cette page vous a-t-elle été utile ? Oui | Non

Retour au Centre de connaissances AWS Support

Vous avez besoin d'aide ? Consultez le site du Centre AWS Support.

Date de publication : 18/05/2015

Date de mise à jour : 22/02/2018