クライアントが「untrusted certificate」(信頼できない証明書) エラーを受けないように Classic Load Balancer に SSL 証明書をアップロードするにはどうすればよいですか?
最終更新日: 2020 年 12 月 3 日
Classic Load Balancer へのクライアント SSL/TLS 接続が、次のようなエラーメッセージが表示されて失敗します。
- 「このウェブサイトから提示された証明書は信頼された認証機関から発行されたものではありません」
- 「example.com は無効なセキュリティ証明書を使用しています。発行者証明書が不明のため、証明書は信頼されません」
- 「example.com は無効なセキュリティ証明書を使用しています。自己署名証明書のため、証明書は信頼されません」
Classic Load Balancer に SSL/TLS 証明書をアップロードしようとすると、エラーも発生します。この解決方法を教えてください。
簡単な説明
Classic Load Balancer に HTTPS/SSL リスナーを使用する場合は、SSL 証明書をインストールする必要があります。SSL 証明書をインストールすると、Classic Load Balancer で SSL/TLS クライアント接続を終了できます。
SSL 証明書には有効期間があります。証明書は、有効期間が終了する前に差し替える必要があります。証明書を差し替えるには、新しい証明書を作成してアップロードする必要があります。
ロードバランサーで使用するために中間証明書チェーンがアップロードされていない場合、ウェブクライアントが証明書の検証に失敗する可能性があります。openssl s_client コマンドを使用して、中間証明書チェーンが AWS Identity and Access Management (IAM) サービスにアップロードされているかどうかを識別できます。s_client コマンドにより、SSL/TLS を使用してリモートホストに接続する汎用 SSL/TLS クライアントが実装されます。openssl s_client-showcerts-connect www.domain.com: 443 コマンドが「リターンコードの確認: 21 (最初の証明書を確認できません)」を返す場合、中間証明書チェーンが欠落しています。
openssl s_client-showcerts-connect www.domain.com: 443 コマンドが「リターンコードの確認: 0 (ok)」を返した場合、証明書のアップロードは成功しています。
SSL 証明書のアップロードが通常以下のカテゴリのいずれかに当てはまる場合、エラーが発生する可能性があります。
- よけいな空白がある証明書ファイルをアップロードした、またはそのような証明書をコピーして貼り付けた。
- 「-----BEGIN CERTIFICATE-----」で始まらず「-----END CERTIFICATE-----」で終わらない証明書ファイルをアップロードした、またはそのような証明書をコピーして貼り付けた。
- 無効なパブリックキーエラー
- 無効なプライベートキーエラー
- 暗号化方式またはキーの問題。
解決方法
信頼できない証明書のエラーを解決するには、ロードバランサー用の SSL 証明書をアップロードします。証明書は、有効期間が終了する前に差し替えてください。
AWS Certificate Manager (ACM) を使用すると、SSL/TLS 証明書を作成、インポート、および管理できます。IAM では、サーバー証明書のインポートとデプロイがサポートされています。ACM は、サーバー証明書のプロビジョニング、管理、およびデプロイにお勧めのツールです。
SSL 証明書のアップロード時に発生したエラーをトラブルシューティングするには、以下のガイドラインに従います。
- 証明書をインポートするための前提条件を充足します。
- IAM を使用して証明書をアップロードする場合は、手順に従ってサーバー証明書 (AWS API) をアップロードします。
- ACM を使用して証明書をインポートする場合は、手順に従って証明書をインポートします。
- 証明書によけいな空白が含まれていないことを確認します。
- 証明書が「-----BEGIN CERTIFICATE-----」で始まり、「-----END CERTIFICATE-----」で終わっていることを確認します。
- パブリックキー証明書が無効であるというエラーメッセージが表示された場合は、パブリックキー証明書または証明書チェーンが無効である可能性があります。証明書チェーンなしで証明書が正常にアップロードされた場合、証明書チェーンは無効です。そうでない場合、パブリックキー証明書が無効です。
パブリックキー証明書が無効の場合:
- パブリックキー証明書が X.509 PEM 形式であることを確認します。
- 有効な証明書形式の例については、「トラブルシューティング」を参照してください。
証明書のチェーンが無効の場合:
- 証明書チェーンにパブリックキー証明書が含まれていないことを確認します。
- 証明書チェーンの順序が正しいことを確認します。証明書チェーンには、ルート証明書につながる認証局 (CA) からのすべての中間証明書を含める必要があります。証明書チェーンは CA が作成した証明書から始まり、CA のルート証明書で終わる必要があります。 通常、中間証明書もルート証明書も、適切な順番に並べられたバンドルファイルとして CA によって提供されます。CA によって提供された中間証明書を使用します。信頼パスのチェーンに含まれていない中間証明書を含めてはいけません。
- プライベートキー証明書が無効であるというエラーが表示された場合は、プライベートキー証明書の形式が正しくないか、プライベートキー証明書が暗号化されている可能性があります。プライベートキー証明書が、「トラブルシューティング」のサンプルプライベートキーの形式に従っていることを確認してください。また、プライベートキー証明書がパスワードで保護されていないことも確認してください。詳細については、以下をご覧ください。