Tidak dapat menambahkan pendengar SSL, Sertifikat Server tidak ditemukan untuk kunci

19

Saya mencoba mengatur SSL pada load balancer saya dengan sertifikat yang saya beli dari GoDaddy.

Saat mencoba mengunggah sertifikat di konsol saya mendapat kesalahan

Gagal membuat penyeimbang beban: Sertifikat Server tidak ditemukan untuk kunci: arn: aws: iam :: ************: server-sertifikat / mycert

Saya belum pernah mengalami kesalahan ini sebelumnya ketika menambahkan sertifikat SSL. Saya tidak yakin mengapa iambahkan digunakan di sini.

Setelah beberapa Googling, saya dapat mengunggah sertifikat saya ke iammenggunakan aws cli (sekali lagi, tidak yakin mengapa saya harus melakukan ini).

Sekarang ketika memodifikasi pendengar saya dapat melihat sertifikat yang saya unggah sebagai sertifikat SSL yang ada. Namun ketika saya mencoba menyimpan perubahan saya ke load balancer, saya mendapatkan kesalahan yang sama. Saya telah memverifikasi bahwa sertifikat itu ada:

$ aws iam list-server-certificates
{
    "ServerCertificateMetadataList": [
        {
            "ServerCertificateId": "*********************", 
            "ServerCertificateName": "mycert", 
            "Expiration": "2018-11-19T18:47:38Z", 
            "Path": "/", 
            "Arn": "arn:aws:iam::************:server-certificate/mycert", 
            "UploadDate": "2015-11-19T19:23:32Z"
        }
    ]
}

(Saya telah memverifikasi nomor akun yang dikaburkan di sini sama dengan di kesalahan)

Dari sini saya mandek. Mengapa saya tidak dapat menerapkan sertifikat saya ke penyeimbang beban ini?

Sunting Kamis 19 Nov 11:47:18 PST 2015

Setelah menunggu beberapa saat dan keluar dan masuk, saya dapat memperbarui pendengar dengan sertifikat SSL saya. Namun, sepertinya itu tidak berfungsi dengan benar. Saat mencoba memuat domain saya selama HTTPSpermintaan habis. Tampaknya tidak dapat memuat sertifikat

$ echo | openssl s_client -connect www.example.com:443 2>/dev/null | openssl x509 -noout -subject
unable to load certificate
69457:error:0906D06C:PEM routines:PEM_read_bio:no start line:/SourceCache/OpenSSL098/OpenSSL098-52.30.1/src/crypto/pem/pem_lib.c:648:Expecting: TRUSTED CERTIFICATE
ssl amazon-web-services Steve Robbins
sumber
1
Sertifikat selalu disimpan di IAM, jadi sepertinya Anda menekan penundaan replikasi IAM atau kesalahan lain di mana sertifikat tersebut tampaknya disimpan baik-baik saja, tetapi kemudian tidak ada di sana ... apa yang semula seharusnya Anda gunakan. Apakah grup keamanan ELB terbuka untuk dunia untuk HTTPS? Jika demikian, maka Anda memiliki anomali kedua di sini dan saya akan menyarankan membuat ELB baru dari awal dan melihat apakah ia berperilaku berbeda.
Michael - sqlbot

Jawaban:

30

Saya menghadapi masalah yang sama ketika mencoba membuat ELB dari konsol web. Saya mencoba membuat unggahan sertifikat baru di sana melalui GUI dan akhirnya gagal dengan kesalahan yang sama. Saya menyelesaikannya dengan mengunggah file sertifikat secara terpisah melalui aws cli. Hal ini dijelaskan dalam dokumen ini - http://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/ssl-server-cert.html#upload-cert

Unggah sertifikat, kunci pribadi, dan rantai sertifikat seperti ini

aws iam upload-server-certificate --server-certificate-name my-server-cert \
  --certificate-body file://my-certificate.pem --private-key file://my-private-key.pem \
  --certificate-chain file://my-certificate-chain.pem

Dan kemudian pergi ke konsol web dan pilih opsi "Pilih sertifikat yang ada dari AWS Identity and Access Management (IAM)" dan pilih pasangan sertifikat yang baru saja diunggah. Ini akan bekerja dengan baik setelah itu.

suryasankar
sumber
1
Saya memiliki masalah yang sama. Selesaikan seperti yang Anda gambarkan, menggunakan aws client seperti yang disarankan oleh tautan yang Anda bagikan. Menggunakan formulir web Konsol IAM untuk menempel di kunci, crt dan rantai TIDAK bekerja untuk saya. Saya menginstal aws-client pada mesin dev saya, mengaturnya dengan "aws configuration" untuk menambah kredensial dan kemudian menjalankan perintah aws iam uplad-server-sertifikat ...
wojjas
GUI memberiku masalah, CLI tidak ... seperti biasa.
Spechal
1
Untuk pembaruan (sekarang 2017), saya baru saja berbicara dengan dukungan Amazon dan ini MASIH masalah yang diketahui. CLI adalah satu-satunya cara untuk memastikan bahwa proses ini akan bekerja dengan benar. -_-
Nicholas Kreidberg
2
Pertengahan 2017 dan masalahnya masih ada.
Diogo Melo
2
Akhir Januari 2018 - masih dan menerbitkan
Andrew S
17

Kesalahan itu menyesatkan. Itu mengunggah sertifikat. Setelah Anda menerima kesalahan itu keluar kemudian kembali untuk mengubah. Pilih sertifikat IAM yang ada dan klik drop-down - Anda akan melihat sertifikat baru di sana.

pengguna384640
sumber
Inilah yang terjadi pada saya juga. Saya mendapatkan kesalahan, berasumsi itu berarti sertifikat tidak mengunggah, jadi saya mencoba lagi ... dan mendapat kesalahan yang berbeda, menyatakan bahwa sertifikat tersebut sudah ada di sana. Keluar dari UI "sertifikat baru" dan kembali dan memilih sertifikat yang baru saya unggah sebagai sertifikat "yang ada" bekerja dengan baik.
coredumperror
1
Terima kasih! Ini sangat kacau. Saya tidak percaya mereka belum memperbaiki sesuatu seperti ini.
naveed
itu persis benar
shareef
Ini terus terjadi dalam alur kerja unggah sertifikat ELAM IAM, tetapi mereka memperbaikinya dalam alur kerja unggahan sertifikat ALAM IAM.
Josip Rodin
5

Saya memiliki masalah yang sama tetapi untungnya berhasil menyelesaikannya tanpa harus menekan CLI. Saya mendapat ELB untuk menambahkan pendengar HTTPS dengan menempelkan rantai sertifikat di bidang sertifikat kunci publik , setelah sertifikat itu sendiri.

Kesalahan hanya terwujud ketika rantai sertifikat disisipkan ke kotak input rantai sertifikatnya sendiri di konsol (ditandai opsional). Tidak begitu yakin mengapa ini membuat perbedaan tetapi itu menciptakan pendengar HTTPS di ELB dan semuanya baik.

Matthew Long
sumber
Ini bekerja untuk saya sekarang dengan sertifikat Comodo DV yang dibeli melalui SSLmate. Masalah terpisah adalah bahwa saya mendapatkan kesalahan tepat setelah mengklik tombol 'kirim' akhir, yang diperbaiki dengan mengklik kembali tombol setelah beberapa detik (penundaan propagasi IAM karena konsistensi akhirnya?)
RichVel
3

Itu karena karakter khusus dalam Nama Sertifikat:. (Dot) dalam kasus saya. Semuanya berfungsi dengan baik setelah menghapus semua titik dari nama sertifikat

essis
sumber
1
Dan juga menghapus "-" dash
ysrb
2

Saya baru saja memukul ini juga. Sudah mencoba lima kali untuk membuat ELB baru dan gagal setiap kali. Tidak pernah mencoba varian API, tetapi saya berhasil menetapkan sertifikat SSL oleh

  1. Pertama menciptakan ELB; kemudian
  2. memodifikasi pendengar dengan mengubah dari HTTP ke HTTPS dan mengunggah sertifikat + kunci + perantara saya.
Ztyx
sumber
1

Saya menghadapi masalah yang sama. Dalam kasus saya, saya mendapatkan kesalahan "Sertifikat Server tidak ditemukan untuk kunci" ketika mengunggah sertifikat SSL tetapi akhirnya diunggah dan muncul di drop-down. Saya tidak mendapatkan kesalahan saat mengunggah melalui CLI. Ketika saya menghubungi dukungan AWS mereka memberi saya alasan di bawah ini untuk kesalahan tersebut

Alasan untuk ini terjadi adalah konsistensi akhirnya. Sertifikat yang diunggah disimpan di IAM. Karena IAM memiliki basis data yang sangat besar, sertifikat yang diunggah harus disebarluaskan melalui semua basis data. Jika tidak ada cukup waktu untuk disebarkan, ELB yang mencoba mengambil sertifikat ini tidak akan dapat menemukannya di titik akhir yang diminta. Oleh karena itu melempar "Sertifikat Server tidak ditemukan untuk kunci". Ketika akhirnya disebarkan, nanti dapat melihatnya sebagai sertifikat yang sudah diunggah

Ramada
sumber
1

Saya menyiasatinya dengan pergi ke manajer sertifikat di konsol aws dan mengunggah di sana terlebih dahulu. Kemudian menggunakan panduan load balancer dan memilih sertifikat yang saya unggah.

pengguna160004
sumber
lembur saya unggah SSL ke AWS saya jalankan ke masalah yang berbeda. Kali ini, pengaturannya di Certificate Manager dan kemudian hanya menggunakannya di EC2 Load Balancer berfungsi !!
user566245
0

Masalah yang sama di sini ketika menggunakan antarmuka web AWS: Saya mengunggah sertifikat yang valid, kunci yang benar dan rantai lengkap tetapi mendapat kesalahan yang disebutkan di atas.

Saya mencoba mengunggah sertifikat ke penyeimbang beban (uji) lainnya. Pengunggahan berfungsi, tetapi status pendengar kemudian mengatakan: "Sertifikat-Tidak Valid".

Ketika saya membuka dialog "Pilih sertifikat" lagi, tidak ada sertifikat yang dipilih. Namun jelas sertifikat itu diunggah dengan benar, karena saya bisa memilihnya di daftar sertifikat.

Jadi, kembali ke penyeimbang beban asli saya, saya mencoba menetapkan sertifikat yang diunggah ini, anehnya sekarang: tidak ada dalam daftar. Saya mencobanya baru dan mengunggah sertifikat dan kuncinya tetapi meninggalkan rantai sertifikat. Ini berhasil, jadi saya tahu itu pasti rantai, itu tidak benar (ini adalah komodo-cert). Saya mengunduh rantai itu lagi dari halaman resmi, mengunggah seluruh bundel dan berhasil. Aneh sekarang: Ketika saya membandingkan keduanya - yang korup dan yang baru diunduh, mereka tampak sama. Tanggal yang sama, serial yang sama, sama sama. Tetapi berbeda.

Singkat cerita: Ini berhasil dengan mengunduh lagi sertifikat perantara.

no
sumber
0

Saya memiliki masalah yang sama dan apa yang akhirnya diperbaiki akan masuk ke Grup Keamanan untuk load balancer dan memastikan bahwa port 443 dibuka.

Chris DeGroat
sumber
0

Sebelum membuat penyeimbang beban Klasik, Anda perlu membuat AMI (Gambar contoh Anda dalam produksi). Dengan ini, pergi ke pengaturan penciptaan penyeimbang beban dan lakukan proses lagi dan setelah ini sertifikat disediakan dan semua berjalan baik dalam kasus saya.

dbarenas
sumber
0

Saya menghindari ini dengan tidak mengisi bidang Rantai Sertifikat opsional .

Danny Schoemann
sumber
0

Saya memiliki masalah yang sama jika saya mengunggah sertifikat secara langsung.

Jika saya menggunakan Manajer Sertifikat (Manajer Sertifikat AWS - ACM), saya dapat mengunggah sertifikat. Setelah itu saya cukup memilih sertifikat dalam daftar drop down.

flokoe
sumber