Comment charger des certificats SSL pour mon Classic Load Balancer afin d'éviter que les clients reçoivent des erreurs de type « untrusted certificate » ?

Lecture de 5 minute(s)
0

Une connexion SSL/TLS client à mon Classic Load Balancer échoue avec le message d'erreur « untrusted certificate ». Des erreurs surviennent également lorsque j'essaie de charger des certificats SSL/TLS sur mon Classic Load Balancer.

Brève description

La connexion SSL/TLS client à un Classic Load Balancer peut échouer avec des messages d'erreur semblables aux suivants :

  • « The security certificate presented by this website was not issued by a trusted certificate authority. »
  • « example.com uses an invalid security certificate. The certificate is not trusted because the issuer certificate is unknown. »
  • « example.com uses an invalid security certificate. The certificate is not trusted because it is self signed. »

Si vous utilisez des écouteurs HTTPS/SSL pour votre Classic Load Balancer, vous devez installer un certificat SSL. Une fois que vous avez installé un certificat SSL, votre Classic Load Balancer peut mettre fin aux connexions client SSL/TLS.

Il existe une période de validité pour le certificat SSL. Vous devez remplacer le certificat avant la fin de sa période de validité. Pour remplacer le certificat, créez et chargez un nouveau certificat.

Si vous ne chargez pas de chaîne de certificats intermédiaires à utiliser par votre équilibreur de charge, le client Web risque de ne pas valider votre certificat. Utilisez la commande openssl s_client pour déterminer si la chaîne de certificats intermédiaires est chargée vers le service Gestion des identités et des accès AWS (AWS IAM). La commande s_client implémente un client SSL/TLS générique qui utilise SSL/TLS pour se connecter à un hôte distant. Exécutez la commande suivante pour vous connecter à un hôte distant :

openssl s_client -showcerts -connect www.domain.com:443

Si la commande renvoie le message « Verify return code: 21 (unable to verify the first certificate) », cela signifie que la chaîne de certificats intermédiaires est manquante. Si la commande renvoie le message « Verify return code: 0 (ok) », cela signifie que le chargement du certificat a bien été effectué. Lorsque vous chargez des certificats SSL, les causes suivantes peuvent provoquer des erreurs :

  • Vous chargez des fichiers de certificat ou vous copiez-collez des certificats contenant des espaces blancs supplémentaires.
  • Vous chargez des fichiers de certificat ou vous copiez-collez des certificats qui ne commencent pas par -----BEGIN CERTIFICATE----- et ne se terminent pas par -----END CERTIFICATE-----.
  • La clé publique n'est pas valide.
  • La clé privée n'est pas valide.
  • La clé ou la suite de chiffrement rencontrent des problèmes.

Résolution

Afin de résoudre les erreurs de certificats non approuvés, chargez un certificat SSL pour votre équilibreur de charge. Remplacez le certificat avant la fin de sa période de validité.

Avec AWS Certificate Manager (ACM), vous pouvez créer des certificats SSL/TLS, les importer et les gérer. IAM prend en charge l'importation et le déploiement de certificats serveur. ACM est l'outil à privilégier pour provisionner, gérer et déployer vos certificats serveur.

Pour résoudre les erreurs rencontrées lors du chargement des certificats SSL, procédez comme suit :

  • Assurez-vous de respecter les conditions préalables à l'importation de certificats.
  • Si vous utilisez IAM pour charger le certificat, suivez les étapes applicables pour charger un certificat serveur (AWS API).
  • Si vous utilisez ACM pour importer le certificat, suivez les étapes applicables pour importer un certificat.
  • Vérifiez que le certificat ne contient pas d'espace blanc supplémentaire.
  • Vérifiez que le certificat commence par -----BEGIN CERTIFICATE----- et se termine par -----END CERTIFICATE-----.
  • Si le message d’erreur indique que le certificat de clé publique n'est pas valide, cela signifie que le certificat de la clé publique ou la chaîne de certificats n’est pas valide. Si le certificat se charge correctement sans la chaîne de certificats, cela signifie que la chaîne de certificats n'est pas valide. Dans le cas contraire, le certificat de la clé publique n'est pas valide.

Si le certificat de la clé publique n'est pas valide, procédez comme suit :

  • Vérifiez que le certificat de clé publique est au format PEM X.509.
  • Pour obtenir des exemples de formats de certificat valides, consultez la section Résolution des problèmes.

Si la chaîne de certificats n'est pas valide, procédez comme suit :

  • Vérifiez que la chaîne de certificats ne contient pas votre certificat de clé publique.
  • Vérifiez que la chaîne de certificats utilise l'ordre approprié. La chaîne de certificats doit inclure tous les certificats intermédiaires de votre autorité de certification qui mènent au certificat racine. La chaîne de certificats commence par le certificat généré par votre autorité de certification et se termine par le certificat racine de votre autorité de certification. Généralement, une autorité de certification fournit à la fois les certificats intermédiaires et racines dans un fichier compressé contenant l'ordre de chaîne approprié. Utilisez les certificats intermédiaires fournis par votre autorité de certification. N'incluez aucun certificat intermédiaire qui ne fait pas partie de la chaîne approuvée.
  • Si l'erreur indique que le certificat de clé privée n'est pas valide, cela signifie que le certificat de clé privée n'est pas dans le bon format. Cela peut également signifier que le certificat de clé privée est chiffré. Assurez-vous que le certificat de clé privée respecte le format de l'exemple de clé privée décrit dans la section Résolution des problèmes. Vérifiez également que le certificat de clé privée n'est pas protégé par mot de passe.

Informations connexes

Importation de certificats dans AWS Certificate Manager

Format du certificat et de la clé pour l'importation

AWS OFFICIEL
AWS OFFICIELA mis à jour il y a 9 mois