Как правильно установить SSL на CloudFront?

Question

Привет, я только что купил SSL для своего домена. После контакта с моим предоставлением SSL у меня есть 5 файлов от моего провайдера.

my_domain.crt 
AddTrustExternalCARoot.crt 
TrustedSecureCertificateAuthority5.crt 
USERTrustRSAAddTrustCA.rt 
my_domain.private_key 

Мой провайдер сказал, что я должен установить их все.

Я использовал AWS CLI для установки с помощью этой команды.

aws iam upload-server-certificate --server-certificate-name my_domain \ 
--certificate-body file://my_domain.crt \ 
--private-key file://my_domain.private_key \ 
--certificate-chain file:://AddTrustExternalCARoot.crt \ 
--path /cloudfront/ 

Я пытался со всеми .CRT файлами, но только TrustedSecureCertificateAuthority5.crt прошел.

Остальные я получил эту ошибку.

Ошибка клиента (MalformedCertificate) произошел при вызове операций UploadServerCertificate: Не удается проверить сертификат цепи должны начинаться с сертификатом немедленного подписания, а затем посредников в порядке.

И после использования https://www.sslshopper.com/ssl-checker.html, чтобы проверить мой SSL. Я получил это.

Сертификат не верит во все веб-браузеры. Возможно, вам понадобится установить сертификат промежуточной/цепочки, чтобы связать его с доверенным корневым сертификатом . Подробнее об этой ошибке ... Самый быстрый способ исправить эту проблему - это связаться со своим провайдером SSL.

Common name: my_domain 
SANs: my_domain 
Organization: My Org 
Location: US 
Valid from : Date 
Serial Number: 
Signature Algorithm: 
Issuer: Trusted Secure Certificate Authority 5 

Common name: Trusted Secure Certificate Authority 5 
Organization: Corporation Service Company 
Location: Wilmington, DE, US 
Valid from September 9, 2014 to September 9, 2024 
Serial Number: 
Signature Algorithm: 
Issuer: USERTrust RSA Certification Authority 

Answer 1

Файл цепочки сертификатов является "цепь" доверия. Это комбинация содержимого всех (обычно) файлов *Trust*.crt и их необходимо комбинировать в определенном порядке, включая начальные/конечные строки, найденные в каждом файле.

Все файлы .crt имеют предмет (объект, сертификат которого удостоверяется как действительный) и эмитент (лицо, подписавшее сертификат).

Вы должны создать и представить эту «цепочку» доверия, чтобы каждый предмет сертификата отражал Эмитента , предшествующий сертификату.

Используйте openssl x509 -text -noout -in <filename> в сертификате своего домена, а затем в каждом из файлов сертификата *Trust*.crt, чтобы найти их значения «Эмитент» и «Тема».

Начиная со значения Эмитента, указанного в сертификате вашего домена, найдите файл .crt с указанным в нем значением сертификата вашего домена, указанным ... в качестве объекта. Этот файл будет первым в цепочке.

Затем обратите внимание на Эмитенту этого файла и найдите следующий файл, в котором будет существовать Субъект, соответствующий Эмитенту предыдущего файла ... и так далее, пока вы не выясните порядок их сборки. Последний сертификат в цепочке, скорее всего, будет иметь одинаковое значение как для эмитента, так и для Субъекта, поскольку это конец цепочки.

Соедините содержимое трех файлов *Trust*.crt в порядке, определенном вышеприведенными шагами, в новый файл и используйте этот новый файл, который вы создали как файл «цепочка сертификатов». Помните, что ваш домен.Файл crt не входит в файл цепи, так как вы отправляете его отдельно.