如何解決使用 HTTPS 存取網站時發生的 ACM 憑證錯誤?

1 分的閱讀內容
0

我使用 AWS Certificate Manager (ACM) 的憑證,透過 HTTPS 連線存取我的網站。但是,我收到錯誤訊息,指出連線不安全、為私密或受信任。

簡短說明

如果您的網站使用 HTTPS 連線,則需要 SSL/TLS 憑證。當您的瀏覽器存取網站時,伺服器憑證中的所有資料欄位都必須有效。您的瀏覽器將無效的資料欄位識別為不安全連線。

在下列情況下,您可能會收到憑證錯誤訊息:

  • 憑證對於伺服器名稱無效。
  • 憑證已過期。
  • 網站的 SSL/TLS 憑證不受信任。
  • 您的連線並非完全安全。
  • 憑證未與支援的 AWS 服務關聯。
  • HTTP 流量不會重新導向到 HTTPS。
  • 您的網站或應用程式使用固定的憑證。
  • 憑證透明度日誌記錄未開啟。

解決方法

憑證對於伺服器名稱無效

檢查用戶端存取的網域,然後檢查伺服器憑證中包含的網域名稱。使用瀏覽器檢視網域名稱並檢查憑證詳細資訊。URL 中的網域必須至少與憑證中包含的其中一個網域名稱相符。如果您使用萬用字元名稱 (*),則萬用字元只會與一個子網域層級相配。例如,*.example.com 可以保護 login.example.comtest.example.com,但該萬用字元無法保護 test.login.example.comexample.com

如果用戶端可以使用 example.comwww.example.com 存取您的網站,請將多個網域名稱新增至您的憑證。新增的網域名稱會涵蓋您網站的其他可能的網域名稱和子網域名稱。如需詳細資訊,請參閱 ACM 憑證特性

憑證已過期

如果您使用 ACM 發行的憑證,則 ACM 會嘗試自動續約憑證。如果憑證已過期,則您必須發行或匯入新憑證。在新憑證發行後,請確認您的 DNS 記錄指向使用 ACM 憑證的 AWS 資源。如需詳細資訊,請參閱對受管憑證續約進行疑難排解

網站的 SSL/TLS 憑證不受信任

大多數現代瀏覽器、作業系統和行動裝置都信任 ACM 發行的公用憑證。將瀏覽器更新至最新版本,或嘗試從其他電腦和瀏覽器存取網域。如果您使用 ACM 匯入自我簽署或公開發行的憑證,則某些瀏覽器不信任該憑證。

若要解決此錯誤,請使用 ACM 要求公用憑證,或聯絡您的憑證授權單位 (CA)。

您的連線並非完全安全

如果初始請求和部分網頁是透過 HTTPS 建立,而其他部分則是透過 HTTP 建立,則可能會出現混合內容。使用混合內容時,存取您網站的用戶端會看到錯誤消息「您的連線並非完全安全」。這是因為原始碼中的網站元素使用 HTTP 而不是 HTTPS。

若要解決此錯誤,請更新原始碼,以透過 HTTPS 載入網站上的所有資源。

憑證未與支援的 AWS 服務關聯

您無法直接在基於 AWS 的網站或應用程式上安裝 ACM 憑證或私有 AWS 私有 CA 憑證。ACM 憑證必須使用支援的 AWS 服務設定。如需詳細資訊,請參閱與 ACM 整合的服務

HTTP 流量不會重新導向到 HTTPS

使用 ACM 憑證設定的網站會使用 HTTP 流量進行存取。您可以使用 Application Load Balancer 將 HTTP 請求重新導向至 HTTPS。您亦可使用 Application Load Balancer 將一個網域重新導向至另一個網域

如果您使用 Amazon CloudFront,則可以將發佈設定為需要 HTTPS 流量。如需詳細資訊,請參閱如何設定 CloudFront 發行版以使用 SSL/TLS 憑證?

您的網站或應用程式使用固定的憑證

將您的網站或應用程式固定至由 ACM 發行的 SSL/TLS 憑證並不是最佳做法。相反,請將您的網站或應用程式固定至 Amazon 信任服務表中的所有 CA。

如需詳細資訊,請參閱我可以將在 AWS 上運行的應用程式釘選至由 ACM 發行的憑證嗎?

憑證透明度日誌記錄未開啟

依預設,ACM 發行的憑證會開啟憑證透明度日誌記錄。如果您選擇退出透明度日誌記錄但想重新開啟,則在續約發行憑證時,必須啟用透明度日誌記錄。

相關資訊

如何將 ACM SSL/TLS 憑證與 Classic、Application 或 Network Load Balancer 建立關聯?

如何為 Classic Load Balancer 上傳 SSL 憑證以防止用戶端收到「不受信任的憑證」錯誤?

將憑證匯入至 ACM

AWS 官方
AWS 官方已更新 4 個月前