如何為 Classic Load Balancer 上傳 SSL 憑證以防止用戶端收到「不受信任的憑證」的錯誤？

簡短說明

用戶端與 Classic Load Balancer 的 SSL/TLS 連線可能會失敗，並顯示與以下內容類似的錯誤訊息：

• 「此網站提供的安全憑證並非由信任的憑證授權單位所簽發。」
• 「example.com 使用無效的安全憑證。該憑證不受信任，因為簽發單位憑證不明。」
• 「example.com 使用無效的安全憑證。該憑證不受信任，因為是自行簽署的憑證。」

如果您對 Classic Load Balancer 使用 HTTPS/SSL 接聽程式，則必須安裝 SSL 憑證。安裝 SSL 憑證之後，Classic Load Balancer 即可終止 SSL/TLS 用戶端連線。

SSL 憑證存在有效期間。您必須在憑證有效期間結束之前取代憑證。若要取代憑證，請建立並上傳新的憑證。

如果您未上傳中繼憑證鏈結供負載平衡器使用，則 Web 用戶端可能無法驗證您的憑證。使用 openssl s_client 命令來識別中繼憑證鏈結是否已上傳至 AWS Identity and Access Management (IAM) 服務。s_client 命令會實作一個使用 SSL/TLS 連接至遠端主機的通用 SSL/TLS 用戶端。執行以下命令來與遠端主機連線：

openssl s_client -showcerts -connect www.domain.com:443

如果命令傳回「驗證傳回碼： 21 (無法驗證第一個憑證)」，則表示缺少中繼憑證鏈結。如果命令傳回「驗證傳回碼： 0 (正確)」，則表示憑證成功上傳。上傳 SSL 憑證時，以下原因可能會導致錯誤：

• 您上傳的憑證檔案或複製並貼上的憑證包含額外的空格。
• 您上傳的憑證檔案或複製並貼上的憑證不是以  -----BEGIN CERTIFICATE-----  開頭並以 -----END CERTIFICATE----- 結尾。
• 公有金鑰無效。
• 私有金鑰無效。
• 加密套件或金鑰有問題。

解決方案

若要解決不受信任的憑證錯誤，請上傳負載平衡器的 SSL 憑證。請在憑證有效期間結束之前取代憑證。

使用 AWS Certificate Manager (ACM)，您可以建立、匯入和管理 SSL/TLS 憑證。IAM 支援匯入和部署伺服器憑證。ACM 是佈建、管理及部署伺服器憑證的偏好工具。

若要疑難排解上傳 SSL 憑證時遇到的錯誤，請遵循下列準則：

• 完成匯入憑證的先決條件。
• 如果您使用 IAM 上傳憑證，請按照以下步驟上傳伺服器憑證 (AWS API)。
• 如果您使用 ACM 匯入憑證，請按照以下步驟匯入憑證。
• 確認憑證不包含額外的空格。
• 確認憑證是以 -----BEGIN CERTIFICATE----- 開頭並以 -----END CERTIFICATE----- 結尾。
• 如果錯誤訊息指出公有金鑰憑證無效，則表示公有金鑰憑證或憑證鏈結無效。如果憑證在沒有憑證鏈結的情況下成功上傳，則表示憑證鏈結無效。否則，表示公有金鑰憑證無效。

如果公有金鑰憑證無效，請完成以下步驟：

• 確認公有金鑰憑證的格式為 X.509 PEM。
• 如需有效憑證格式的範例，請參閱疑難排解。

如果憑證鏈結無效，請完成以下步驟：

• 確認憑證鏈結不包含您的公有金鑰憑證。
• 確認憑證鏈結使用正確的順序。憑證鏈結必須包含憑證授權單位 (CA) 的中繼憑證，這些憑證會導向根憑證。憑證鏈結是以 CA 所產生的憑證開頭並以 CA 的根憑證結尾。通常，CA 會在套件組合檔案中以正確的鏈結順序提供中繼憑證和根憑證。使用您的 CA 提供的中繼憑證。請勿包含信任路徑鏈結中未涉及的任何中繼憑證。
• 如果錯誤指明私有金鑰憑證無效，則表示私有金鑰憑證的格式不正確。或者，表示私有金鑰憑證已加密。請確保私有金鑰憑證遵循疑難排解中私有金鑰範例的格式。此外，請確認私有金鑰憑證未受密碼保護。

相關資訊

將憑證匯入 AWS Certificate Manager

用於匯入的憑證和金鑰格式