Wie lade ich SSL-Zertifikate für meinen Classic Load Balancer hoch, um zu verhindern, dass Clients die Fehlermeldung „untrusted certificate“ erhalten?

Kurzbeschreibung

Eine Client-SSL-/TLS-Verbindung zu einem Classic Load Balancer kann mit Fehlermeldungen wie den folgenden fehlschlagen:

• „The security certificate presented by this website was not issued by a trusted certificate authority.“
• „example.com uses an invalid security certificate. The certificate is not trusted because the issuer certificate is unknown.“
• „example.com uses an invalid security certificate. The certificate is not trusted because it is self signed.“

Wenn Sie HTTPS/SSL-Listener für Ihren Classic Load Balancer verwenden, müssen Sie ein SSL-Zertifikat installieren. Nachdem Sie ein SSL-Zertifikat installiert haben, kann Ihr Classic Load Balancer SSL/TLS-Client-Verbindungen beenden.

Für das SSL-Zertifikat besteht eine Gültigkeitsdauer. Sie müssen das Zertifikat vor Ablauf seiner Gültigkeitsdauer ersetzen. Um das Zertifikat zu ersetzen, erstellen Sie ein neues Zertifikat und laden Sie es hoch.

Wenn Sie keine Zwischenzertifikatskette hochladen, die Ihr Load Balancer verwenden soll, kann der Webclient Ihr Zertifikat möglicherweise nicht validieren. Verwenden Sie den Befehl openssl s_client, um festzustellen, ob die Zwischenzertifikatskette zum AWS Identity and Access Management (IAM)-Service hochgeladen wurde. Der Befehl s_client implementiert einen generischen SSL/TLS-Client, der SSL/TLS verwendet, um eine Verbindung zu einem Remote-Host herzustellen. Führen Sie den folgenden Befehl aus, um eine Verbindung zu einem Remote-Host herzustellen:

openssl s_client -showcerts -connect www.domain.com:443

Wenn der Befehl „Verify return code: 21 (unable to verify the first certificate)“ zurückgibt, dann fehlt die Zwischenzertifikatskette. Wenn der Befehl „Verify return code: 0 (ok)“ zurückgibt, dann ist der Zertifikats-Upload erfolgreich. Wenn Sie SSL-Zertifikate hochladen, können die folgenden Gründe zu Fehlern führen:

• Sie laden Zertifikatsdateien hoch oder kopieren und fügen Zertifikate ein, die zusätzliche Leerzeichen enthalten.
• Sie laden Zertifikatsdateien hoch oder kopieren und fügen Zertifikate ein, die nicht mit -----BEGIN CERTIFICATE----- beginnen und mit -----END CERTIFICATE----- enden.
• Der öffentliche Schlüssel ist nicht gültig.
• Der private Schlüssel ist nicht gültig.
• Es liegen Probleme mit der Cipher Suite oder dem Schlüssel vor.

Lösung

Um Fehler mit nicht vertrauenswürdigen Zertifikaten zu beheben, laden Sie ein SSL-Zertifikat für Ihren Load Balancer hoch. Ersetzen Sie das Zertifikat, bevor seine Gültigkeitsdauer endet.

Mit dem AWS Certificate Manager (ACM) können Sie SSL/TLS-Zertifikate erstellen, importieren und verwalten. IAM unterstützt den Import und die Anwendung von Serverzertifikaten. ACM ist das bevorzugte Tool für die Bereitstellung, Verwaltung und Implementierung Ihrer Serverzertifikate.

Um Fehler zu beheben, die beim Hochladen von SSL-Zertifikaten auftreten, befolgen Sie die folgenden Richtlinien:

• Erfüllen Sie die Voraussetzungen für den Import von Zertifikaten.
• Wenn Sie IAM verwenden, um das Zertifikat hochzuladen, folgen Sie den Schritten zum Hochladen eines Serverzertifikats (AWS API).
• Wenn Sie ACM verwenden, um das Zertifikat zu importieren, folgen Sie den Schritten zum Importieren eines Zertifikats.
• Vergewissern Sie sich, dass das Zertifikat keine zusätzlichen Leerzeichen enthält.
• Vergewissern Sie sich, dass das Zertifikat mit -----BEGIN CERTIFICATE----- beginnt und mit -----END CERTIFICATE----- endet.
• Wenn die Fehlermeldung darauf hinweist, dass das öffentliche Schlüsselzertifikat nicht gültig ist, dann ist entweder das öffentliche Schlüsselzertifikat oder die Zertifikatskette ungültig. Wenn das Zertifikat ohne die Zertifikatskette erfolgreich hochgeladen wird, ist die Zertifikatskette ungültig. Andernfalls ist das öffentliche Schlüsselzertifikat ungültig.

Wenn das öffentliche Schlüsselzertifikat ungültig ist, gehen Sie wie folgt vor:

• Vergewissern Sie sich, dass das öffentliche Schlüsselzertifikat im X.509-PEM-Format vorliegt.
• Beispiele für gültige Zertifikatsformate finden Sie unter Problembehandlung.

Wenn die Zertifikatskette ungültig ist, gehen Sie wie folgt vor:

• Vergewissern Sie sich, dass die Zertifikatskette Ihr öffentliches Schlüsselzertifikat nicht enthält.
• Vergewissern Sie sich, dass die Zertifikatskette die richtige Reihenfolge nutzt. Die Zertifikatskette muss alle Zwischenzertifikate Ihrer Zertifizierungsstelle (CA) enthalten, die zum Stammzertifikat führen. Die Zertifikatskette beginnt mit dem Zertifikat, das Ihre CA generiert, und endet mit dem Stammzertifikat Ihrer CA. In der Regel stellt eine CA sowohl Zwischen- als auch Stammzertifikate in einer gebündelten Datei in der richtigen verketteten Reihenfolge bereit. Verwenden Sie die Zwischenzertifikate, die Ihre CA bereitstellt. Fügen Sie keine Zwischenzertifikate hinzu, die nicht Teil der Vertrauenspfadkette sind.
• Wenn der Fehler darauf hinweist, dass das private Schlüsselzertifikat ungültig ist, hat das private Schlüsselzertifikat nicht das richtige Format. Oder das private Schlüsselzertifikat ist verschlüsselt. Stellen Sie sicher, dass das Zertifikat für den privaten Schlüssel dem Format des Beispiels für den privaten Schlüssel unter Problembehandlung entspricht. Stellen Sie außerdem sicher, dass das private Schlüsselzertifikat nicht kennwortgeschützt ist.

Ähnliche Informationen

Zertifikate im AWS Certificate Manager importieren

Format für den Import von Zertifikaten und Schlüsseln