Como faço o upload dos certificados SSL para meu Classic Load Balancer a fim de evitar que os clientes recebam erros de “certificado não confiável”?

5 minuto de leitura

Uma conexão SSL/TLS do cliente com meu Classic Load Balancer falha com a mensagem de erro “certificado não confiável”. Também encontro erros ao tentar fazer o upload de certificados SSL/TLS para meu Classic Load Balancer.

Breve descrição

Uma conexão SSL/TLS do cliente com um Classic Load Balancer pode falhar com mensagens de erro similares a estas:

"O certificado de segurança apresentado por este site não foi emitido por uma autoridade de certificação confiável"
"example.com usa um certificado de segurança inválido. O certificado não é confiável porque o certificado do emissor é desconhecido"
"example.com usa um certificado de segurança inválido. O certificado não é confiável porque é autoassinado."

Se você usa receptores HTTPS/SSL para o Classic Load Balancer, instale um certificado SSL. Depois da instalação, o Classic Load Balancer pode encerrar as conexões de cliente SSL/TLS.

Há um período de validade para o certificado SSL. Você deve substituir o certificado antes que o período de validade dele termine. Para substituir o certificado, crie e faça o upload de um novo certificado.

Se você não fizer upload de uma cadeia de certificados intermediária para uso do seu balanceador de carga, talvez o cliente web não consiga validar o certificado. Use o comando openssl s_client para identificar se a cadeia de certificados intermediária foi enviada para o serviço do Identity and Access Management (IAM) do AWS. O comando s_client implementa um cliente SSL/TLS genérico que usa SSL/TLS para se conectar a um host remoto. Execute o comando a seguir para se conectar a um host remoto:

openssl s_client -showcerts -connect www.domain.com:443

Se o comando retornar “Verifique o código de retorno: 21 (não é possível verificar o primeiro certificado)", significa que falta a cadeia de certificados intermediária. Se o comando retornar “Verifique o código de retorno: 0 (ok)", significa que o upload do certificado obteve êxito. Quando você faz o upload de certificados SSL, os seguintes motivos podem causar erros:

Você fez o upload de arquivos de certificado ou copia e cola certificados que contêm espaço em branco extra.
Você fez o upload de arquivos de certificado ou copia e cola certificados que não começam com \ -----BEGIN CERTIFICATE----- e terminam com \ -----END CERTIFICATE-----.
A chave pública não é válida.
A chave privada não é válida.
Há problemas com o conjunto ou a chave de codificação.

Resolução

Para resolver erros de certificados não confiáveis, faça o upload de um certificado SSL para seu balanceador de carga. Substitua o certificado antes que o período de validade dele termine.

Com o AWS Certificate Manager (ACM), você pode criar, importar e gerenciar certificados SSL/TLS. O IAM oferece suporte à importação e implantação de certificados de servidor. O ACM é a ferramenta ideal para provisionar, gerenciar e implantar seus certificados de servidor.

Para solucionar erros de upload de certificados SSL, siga estas diretrizes:

Preencha os pré-requisitos de importação de certificados.
Se você usa o IAM para fazer o upload do certificado, siga as etapas para fazer o upload de um certificado de servidor (API da AWS).
Se você usa o ACM para importar o certificado, siga as etapas correspondentes.
Confirme se o certificado não contém espaço em branco extra.
Confirme se o certificado começa com \ -----BEGIN CERTIFICATE----- e termina com \ -----END CERTIFICATE-----.
Se a mensagem de erro indicar que o certificado de chave pública não é válido, então o certificado de chave pública ou a cadeia de certificados não são válidos. Se o upload do certificado obtiver êxito sem a cadeia de certificados, significa que a cadeia de certificados não é válida. Se o upload não obtiver êxito, o certificado de chave pública não é válido.

Se o certificado de chave pública não for válido, realize as seguintes etapas:

Confirme se o certificado de chave pública está no formato X.509 PEM.
Para conferir exemplos de formatos de certificado válidos, consulte a Solução de problemas.

Se a cadeia de certificados não for válida, realize as seguintes etapas:

Confirme se a cadeia de certificados não contém seu certificado de chave pública.
Confirme se a cadeia de certificados usa a ordem correta. A cadeia de certificados deve incluir todos os certificados intermediários da sua Autoridade de Certificação (CA) que direcionam ao certificado raiz. A cadeia de certificados começa com o certificado que sua CA gera e termina com o certificado raiz da CA. Normalmente, uma CA fornece certificados intermediários e raiz em um arquivo agrupado com a ordem da cadeia adequada. Use os certificados intermediários fornecidos pela sua CA. Não inclua nenhum certificado intermediário que não esteja envolvido na cadeia de caminhos de confiança.
Se o erro indicar que o certificado de chave privada não é válido, significa que esse certificado não está no formato correto ou que ele está criptografado. Certifique-se de que o certificado de chave privada siga o formato do exemplo de chave privada em Solução de problemas. Além disso, confirme se ele não está protegido por senha.

Informações relacionadas

Importação de certificados para o AWS Certificate Manager

Formato de chaves e certificados para importação

Tópicos

Rede e entrega de conteúdo

Conteúdo relevante

Como faço para adicionar vários certificados SSL ao Application Load Balancer em meu ambiente Elastic Beanstalk?
AWS OFICIALAtualizada há 9 meses
Os clientes estão recebendo mensagens de erro de certificado ao tentar acessar meu site usando conexões HTTPS. Como faço para resolver isso?
AWS OFICIALAtualizada há 2 anos
Como posso associar um certificado ACM SSL/TLS a um Classic, Application ou Network Load Balancer?
AWS OFICIALAtualizada há 3 anos
Como associo vários certificados SSL ou TLS do ACM ao Application Load Balancer usando o CloudFormation?
AWS OFICIALAtualizada há 2 anos