Come faccio a caricare i certificati SSL per il mio Classic Load Balancer per evitare che i clienti ricevano errori di "certificato non affidabile"?
Una connessione SSL/TLS del client al mio Classic Load Balancer fallisce con un messaggio di errore "certificato non affidabile". Riscontro anche degli errori quando provo a caricare i certificati SSL/TLS sul mio Classic Load Balancer.
Breve descrizione
Una connessione SSL/TLS del client a un Classic Load Balancer può fallire con messaggi di errore simili ai seguenti:
- "Il certificato di sicurezza presentato da questo sito Web non è stato emesso da un'autorità di certificazione attendibile."
- "example.com utilizza un certificato di sicurezza non valido. Il certificato non è attendibile perché il certificato dell'emittente è sconosciuto."
- "example.com utilizza un certificato di sicurezza non valido. Il certificato non è attendibile perché è autofirmato."
Se utilizzi listener HTTPS/SSL per Classic Load Balancer, devi installare un certificato SSL. Dopo aver installato un certificato SSL, Classic Load Balancer può interrompere le connessioni client SSL/TLS.
C'è un periodo di validità per il certificato SSL. È necessario sostituire il certificato prima della scadenza del periodo di validità. Per sostituire il certificato, crea e carica un nuovo certificato.
Se non carichi una catena di certificati intermedia da utilizzare con il sistema di bilanciamento del carico, il client Web potrebbe non riuscire a convalidare il certificato. Usa il comando openssl s_client per identificare se la catena di certificati intermedi è caricata sul servizio AWS Identity and Access Management (IAM). Il comando s_client implementa un client SSL/TLS generico che utilizza SSL/TLS per connettersi a un host remoto. Esegui il seguente comando per connetterti a un host remoto:
openssl s_client -showcerts -connect www.domain.com:443
Se il comando restituisce "Verifica codice di ritorno: 21 (impossibile verificare il primo certificato)", quindi manca la catena di certificati intermedia. Se il comando restituisce "Verifica codice di ritorno: 0 (ok)", quindi il caricamento del certificato è riuscito. Quando carichi certificati SSL, i seguenti motivi possono causare errori:
- Puoi caricare i file dei certificati o copiare e incollare i certificati che contengono spazi vuoti aggiuntivi.
- Caricate file di certificato o copiate e incollate i certificati che non iniziano con**-----BEGIN CERTIFICATE-----** e terminano con**-----END CERTIFICATE-----**.
- La chiave pubblica non è valida.
- La chiave privata non è valida.
- Ci sono problemi con la suite o la chiave di cifratura.
Risoluzione
Per risolvere errori non attendibili nei certificati, carica un certificato SSL per il tuo sistema di bilanciamento del carico. Sostituisci il certificato prima della fine del suo periodo di validità.
Con AWS Certificate Manager (ACM), puoi creare, importare e gestire certificati SSL/TLS. IAM supporta l'importazione e la distribuzione di certificati server. ACM è lo strumento preferito per fornire, gestire e distribuire i certificati del server.
Per risolvere gli errori che si verificano durante il caricamento dei certificati SSL, segui queste linee guida:
- Completa i prerequisiti per l'importazione dei certificati.
- Se usi IAM per caricare il certificato, segui i passaggi per caricare un certificato del server (API AWS).
- Se usi ACM per importare il certificato, segui i passaggi per importare un certificato.
- Verifica che il certificato non contenga spazi vuoti aggiuntivi.
- Conferma che il certificato inizia con**-----INIZIA CERTIFICATO-----** e termina con**-----END CERTIFICATE-----**.
- Se il messaggio di errore indica che il certificato a chiave pubblica non è valido, il certificato a chiave pubblica o la catena di certificati non sono validi. Se il certificato viene caricato correttamente senza la catena di certificati, la catena di certificati non è valida. Altrimenti, il certificato a chiave pubblica non è valido.
Se il certificato a chiave pubblica non è valido, completa i seguenti passaggi:
- Verificare che il certificato a chiave pubblica sia nel formato PEM X.509.
- Per esempi di formati di certificati validi, consulta Risoluzione dei problemi.
Se la catena di certificati non è valida, completa i seguenti passaggi:
- Verifica che la catena di certificati non contenga il tuo certificato a chiave pubblica.
- Verifica che la catena di certificati utilizzi l'ordine corretto. La catena di certificati deve includere tutti i certificati intermedi dell'Autorità di certificazione (CA) che portano al certificato principale. La catena di certificati inizia con il certificato generato dalla CA e termina con il certificato principale della CA. In genere, una CA fornisce certificati intermedi e root in un file raggruppato con l'ordine concatenato corretto. Usa i certificati intermedi forniti dalla tua CA. Non includere alcun certificato intermedio che non sia coinvolto nella catena del percorso di fiducia.
- Se l'errore indica che il certificato con chiave privata non è valido, il formato del certificato con chiave privata non è corretto. In alternativa, il certificato con chiave privata è crittografato. Assicurati che il certificato con chiave privata segua il formato dell'esempio di chiave privata in Risoluzione dei problemi. Inoltre, verifica che il certificato con chiave privata non sia protetto da password.
Informazioni correlate
Contenuto pertinente
- AWS UFFICIALEAggiornata 3 anni fa
- AWS UFFICIALEAggiornata 3 anni fa
- AWS UFFICIALEAggiornata 8 mesi fa