1

Thawte 123 SSL 証明書を取得しましたが、AWS にアップロードして CloudFront でカスタム SNI SSL 証明書として使用するのに問題があります。AWS は CA チェーンを拒否します。SSL Web サーバーと Thawte ワイルドカード証明書にThawte Intermediate CA バンドルを使用しています。

秘密鍵を使用できるようにするために、次の方法で RSA キーに変換しました。

openssl rsa -in private.key -out private-rsa-key.pem`

そしてそれをアップロードしようとしました:

aws iam upload-server-certificate --server-certificate-name example.com-certificate --certificate-body file://certificate.pem --private-key file://private.pem --certificate-chain https://search.thawte.com/library/VERISIGN/ALL_OTHER/thawte%20ca/SSL_CA_Bundle.pem --path /cloudfront/example.com/

次のエラーが発生します。

A client error (MalformedCertificate) occurred when calling the UploadServerCertificate operation: Unable to validate certificate chain. The certificate chain must start with the immediate signing certificate, followed by any intermediaries in order. The index within the chain of the invalid certificate is: 0

最初の即時署名証明書としてthawte_Primary_Root_CA.pemを証明書チェーンに挿入しても、問題は解決しません。

A client error (MalformedCertificate) occurred when calling the UploadServerCertificate operation: Unable to validate certificate chain. The certificate chain must start with the immediate signing certificate, followed by any intermediaries in order. The index within the chain of the invalid certificate is: 1

Thawte CA チェーンは AWS と互換性がありませんか?

4

4 に答える 4

1

私は今同じ問題を抱えており、すべてを試しました。SSL123 証明書の使用 (私の rsa キーと pem は問題ありません)

Thawte が提供するプライマリ証明書とセカンダリ証明書をどのような順序でも処理できません。プライマリのみ、セカンダリのみ、プライマリ+セカンダリ、セカンダリ+プライマリを試し、ルート証明書でも試し、次のプライマリとセカンダリでも試しました。

https://search.thawte.com/library/VERISIGN/ALL_OTHER/thawte%20ca/SSL123_SecondaryCA.pem

https://search.thawte.com/library/VERISIGN/ALL_OTHER/thawte%20ca/SSL123_PrimaryCA.pem

ELBから取得できる唯一のものは次のとおりです。

証明書チェーンを検証できません。証明書チェーンは、直接署名する証明書から開始し、その後に仲介者が順番に続く必要があります。無効な証明書のチェーン内のインデックス: 0

インデックスは常に -1 ではなく、含まれる証明書の順序と数に応じて 0、1、および 2 になります。

[私のために解決]

どうやら、証明書を作成する EC2 インスタンスが影響します。デフォルトの AMI を備えた標準の EBS インスタンスを使用し、Thwate から提供された証明書を再度変換したところ、機能しました。

手順は次のとおりです。

CSR:

keytool -genkey -keysize 2048 -keyalg RSA -alias mycertificate -keystore keystore.jks

Thatwe が応答したら: (プライマリは、電子メールのチェーンの 2 番目の証明書です)。

keystore.jks に 3 つの証明書をインポートします。

keytool -import -alias Primary -trustcacerts -file Primary.crt -keystore keystore.jks
keytool -import -alias Secondary -trustcacerts -file Secondary.crt -keystore keystore.jks
keytool -import -alias mycertificate -trustcacerts -file mycertificate.cer -keystore keystore.jks

JSK > P12 - keystore.jks を p12 形式に変換します

keytool -importkeystore -srckeystore keystore.jsk -destkeystore keystore.p12 -srcstoretype jks -deststoretype pkcs12

P12 > PEM - p12 形式を pem 形式に変換します

openssl pkcs12 -in keystore.p12 -out keystore.pem -nodes

PEM > RSA PRIVATE KEY - 秘密鍵を RSA 形式でエクスポートします

openssl rsa -in keystore.pem -text > keystore_rsa.pem

そして今回はうまくいきました。

于 2015-04-28T15:57:39.187 に答える