Удаление загруженного сертификата из эластичного балансировщика нагрузки

Я тестировал и экспериментировал немного, чтобы узнать, как именно загрузить SSL-сертификаты в AWS Elastic Load Balancer (выясняя проблемы с разными ключами и кодировками сертификатов).

Поэтому у меня есть довольно много тестовых сертификатов, которые я создал с неправильной информацией, отсутствием цепочек сертификатов или просто фиктивными данными.

Насколько я вижу, нет способа удалить эти сертификаты или даже обновить/заменить те, у которых отсутствует определенная информация. Инструкции AWS к "обновлению сертификата" (http://docs.amazonwebservices.com/ElasticLoadBalancing/latest/DeveloperGuide/US_UpdatingLoadBalancerSSL.html) на самом деле просто показывает вам, как изменить прослушиватель балансировки нагрузки на использование другого сертификата, который либо уже там, либо вы также можете загрузить его! (именно так у меня в итоге появилось столько сертификатов).

Может кто-нибудь, пожалуйста, скажите мне, что я ошибаюсь, и есть способ удалить их?: D (и предпочтительно также, как это сделать)

Ответ 1

Это невозможно. Вы должны удалить ELB и сделать новый.

См: https://forums.aws.amazon.com/thread.jspa?threadID=57632

Их можно удалить из IAM, но они не всегда корректно удаляются из ELB, и ELB может продолжать использовать старый. Я бы определенно сказал, что самый безопасный способ - создать новый ELB и удалить старый.

Ответ 2

Вы можете удалить сертификат, связанный с ELB, используя следующую команду

 aws iam delete-server-certificate --server-certificate-name certificate_object_name

Существует ограничение на количество этих сертификатов, которое вы можете иметь [10].

Ответ 3

Для этого вы можете использовать инструмент командной строки "iam-servercertdel". Сначала вам нужно получить путь:

iam-servercertlistbypath

После этого вы можете удалить его:

iam-servercertdel arn:aws:iam::10494620000:server-certificate/my-company-cert

Однако chantheman прав в том, что службы AWS иногда могут быть шелушатся, поэтому иногда лучше воссоздавать ELB.

Ответ 4

Выполните следующую команду с помощью инструментов API Amazon:

iam-servercertdel -s SERVERCERTNAME

Ответ 5

Это невозможно через консоль Amazon, но через вызовы API. http://docs.amazonwebservices.com/IAM/latest/APIReference/API_DeleteServerCertificate.html Возможно, вы этого не заметили, потому что они находятся под IAM, а не с EC2.

Ответ 6

Ваш первый шаг должен состоять в том, чтобы прекратить использование сертификата в балансировщике нагрузки. Либо замените всех слушателей на другой сертификат, либо вообще не используйте сертификат. @SDillard рекомендовал в своем ответе, что вы должны подождать несколько минут, прежде чем продолжить удаление сертификата.

Вы можете удалить сертификат, используя следующую команду в консоли AWS Powershell (см. другие ответы, чтобы узнать, как это сделать, используя другие инструменты). Установите консоль AWS SDK для .Net, чтобы получить консоль.

Remove-IAMServerCertificate <CertificateName>

Обратите внимание, что <CertificateName> должен не быть полным идентификатором ресурса, который выглядит следующим образом. Имя сертификата - последний сегмент.

ARN: AWS: РМКО:: 297826370175: серверный сертификат /

Чтобы получить список всех сертификатов, вы можете использовать следующую команду.

Get-IAMServerCertificates

Теперь, когда вы вернетесь к конфигурации сертификата SSL для слушателей в балансировщике нагрузки (в консоли управления AWS), вы больше не увидите сертификат, который вы удалили в раскрывающемся списке.

Если по какой-то причине это не работает, вы также можете попробовать воссоздать балансировщик нагрузки (удалить существующий и создать новый). Однако имейте в виду, что это, вероятно, означает, что вам нужно внести некоторые изменения, связанные с DNS, поскольку новый балансировщик нагрузки будет иметь разные DNS-имена. Возможно, вам нужно будет изменить ваши записи CName.

Обновление: Похоже, что с API были внесены некоторые изменения, так как я впервые опубликовал этот ответ. Я просто смог удалить сертификат, который в настоящее время используется слушателем. Несмотря на то, что в столбце сертификатов он сказал "Недействительный сертификат", старый сертификат продолжал возвращаться, когда я просматривал сайт, - не уверен, что это была временная вещь.

Ответ 7

Если сертификат не используется в ELB, используйте инструменты IAM, как указано в других ответах. Если это так, то вы не должны удалять его из IAM, но вместо этого следует установить новый, правильный для ELB, а затем удалить неиспользуемые сертификаты с помощью инструментов IAM. Я также рекомендовал бы ждать несколько минут после того, как вы измените сертификат, прежде чем удалять старый, поскольку для распространения правильного сертификата может потребоваться немного времени; просто сделайте копание в имени DNS ELB и нажмите каждый IP-адрес, чтобы убедиться, что он возвращает новый сертификат.

Кроме того, последняя версия AWS Console поддерживает обновление сертификата на существующем балансировщике нагрузки, но вам все равно придется использовать инструменты IAM для удаления ненужных сертификатов.