Подтвердить что ты не робот

Как установить сертификат godaddy ssl на aws elb?

Я приобрел сертификат SSL от godaddy. Я создал файл хранилища ключей, сгенерировал csr файл из него, отправил его в godaddy и получил эти файлы:

  • mydomain.crt
  • gd_intermediate.crt
  • gd_bundle.crt

Теперь я пытаюсь создать Эластичный балансировщик нагрузки в консоли AWS. Когда вас попросят предоставить информацию о сертификате, они просят:

  • Закрытый ключ (закодированный pem)
  • Сертификат открытого ключа (закодированный pem)
  • Цепочка сертификатов (закодировано pem, необязательно)

Как преобразовать файлы, которые у меня есть для этих параметров?

4b9b3361

ОТВЕТЫ

Ответ 1

Для AWS ELB вам нужно три вещи, как вы сказали

Закрытый ключ

Ключ rsa, который вы создали на linux с помощью

#openssl genrsa -des3 -out host.key 2048

он попросит пароль, дайте его сейчас, мы удалим его позже.

Открытый ключ

из вашего закрытого ключа. Сначала создайте файл csr, который представляет собой запрос на подпись сертификата (тот, который вы отправляете в орган в вашем случае godaddy для получения открытого ключа). вы можете создать файл csr, используя

#openssl req -new -key host.key -out host.csr

теперь вы отправляете свой файл csr в godaddy, и взамен они предоставляют вам два файла (mydomain.crt, gd_bundle.crt). mydomain.crt - ваш открытый ключ.

Цепочка сертификатов

gd_bundle.crt является сертификационным файлом цепочки, который godaddy предоставляет вам ваш открытый ключ. Ваш открытый ключ и файл цепочки сертификации не нуждаются в каком-либо преобразовании, но для файла закрытого ключа вам необходимо удалить его пароль и преобразовать его в pem с помощью

#openssl rsa -in host.key -out private.pem

и все это полезно для доступа к содержимому личного содержимого key.pem для AWS.put в разделе секретного ключа aws и поместить содержимое файла mydomain.crt в открытый ключ и поместить содержимое gd_bundle.crt в цепочку сертификации. Все зависит от того, откуда вы получаете сертификат. если вы получите сертификат от какой-либо другой компании, я рекомендую вам следовать документам AWS.

http://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/ssl-server-cert.html

Ответ 2

Мне недавно пришлось пройти этот процесс, и ни один из ответов не работал у меня. Ниже приведены шаги, которые позволили мне загрузить новый сертификат SSL в AWS (для последующего использования в ElasticBeanstalk).

Получение частного ключа

Мне пришлось использовать две команды для этого процесса:

openssl genrsa -des3 -out server.pass.key 2048
openssl rsa -in server.pass.key -out server.key

Файл server.key - это ваш закрытый ключ.

Кроме того, вы можете сгенерировать CSR (запрос подписи сертификата), выполнив:

openssl req -nodes -new -key server.key -out server.csr

Это файл, который мы будем использовать для запроса GoDaddy для выдачи нашего нового сертификата.

Получение открытого ключа

Как только сертификат был выпущен в GoDaddy, загрузите его. Это даст вам два файла, которые необходимо связать с ними:

cat yourdomain.crt gd_bundle-g2-g1.crt > combined.crt

combined.crt будет вашим открытым ключом.

Загрузка сертификата сервера AWS

С помощью файла server.key и combined.crt вы можете загрузить сертификат на AWS, используя AWS CLI, Вам просто нужно использовать следующую команду:

aws iam upload-server-certificate --server-certificate-name your_certificate_name --certificate-body file://combined.crt --private-key file://server.key

Если все будет хорошо, вы получите ответ от сервера:

{
    "ServerCertificateMetadata": {
        "ServerCertificateId": "ABCDEFG12345678", 
        "ServerCertificateName": "certificate-name", 
        "Expiration": "2018-08-26T11:59:38Z", 
        "Path": "/", 
        "Arn": "arn:aws:iam::1234123412:server-certificate/certificate-name", 
        "UploadDate": "2017-08-26T19:53:46.989Z"
    }
}

И вот, вы должны иметь новый сертификат SSL, доступный вам в AWS.

Ответ 4

Почти два года назад точно, но я кулак по этому поводу, и это натолкнуло меня на секунду.

Тело сертификата является основным ключом в zip файле, мой вид выглядит как f7dsdfsdf2f4e942d.crt и имеет только одну запись.

Среднее поле Закрытый ключ сертификата * - закрытый ключ ssh, который подписал ваш csr. Он живет на сервере, чтобы пользователь мог создать запрос csr. Я нашел свое местоположение, просмотрев файл конфигурации nginx и скопировав его на локальный диск.

Последнее поле Цепочка сертификатов - это файл с тремя записями, мой вид выглядит как gd_bundle-g2-g1.crt.

Ответ 5

Вы хотите преобразовать mydomain.crt в mydomain.pem(два других файла - файлы доверия). Вы можете использовать openssl в любой системе unix или linux для создания файла pem из crt.

Поскольку у издателя сертификата есть закрытый ключ, единственная причина, по которой он должен просить вас об этом, - это если он пытается создать сертификат. Если у вас уже есть сертификат, он должен просто использовать его. Проверьте документацию

Ответ 6

Если вы используете сервер IIS Windows:

Закрытый ключ

  • Следуйте инструкциям здесь, чтобы получить свой секретный ключ. По существу (без снимков экрана):
    • Запустить mmc.exe
    • В меню "Файл" выберите "Добавить/удалить оснастку".
    • В появившемся новом окне нажмите "Добавить".
    • Выберите "Сертификаты" и нажмите "Добавить".
    • Выберите опцию "Учетная запись компьютера" и нажмите "Далее".
    • Выберите локальный компьютер и нажмите кнопку "Готово".
    • Нажмите "Закрыть" и затем нажмите "ОК". В консоли появится оснастка для сертификатов (локальный компьютер).
    • Разверните дерево сертификатов (локальный компьютер) в левой панели предварительного просмотра.
    • Щелкните правой кнопкой мыши Личный и выберите "Все задачи > Импорт". Откроется мастер импорта сертификатов. Нажмите "Далее".
    • Перейдите к местоположению файла сертификата сервера и нажмите "Далее".
    • Выберите "Разместить все сертификаты" в следующем хранилище и нажмите "Далее".
    • Нажмите "Готово", чтобы завершить работу мастера импорта сертификатов.
    • Появится диалоговое окно, указывающее, что импорт был успешным. Нажмите "ОК".
  • На дереве разверните "Личные" и "Сертификаты кликов". Дважды щелкните свой сертификат.
  • Нажмите "Скопировать в файл" на вкладке "Сведения" во всплывающем окне "Сертификат" и создайте файл .pfx.
  • Перейдите в здесь, чтобы преобразовать его в формат PEM.
  • Вставить только части от -----BEGIN PRIVATE KEY----- до -----END PRIVATE KEY-----.
    • Не строки выше -----BEGIN PRIVATE KEY-----, а не строки ниже -----END PRIVATE KEY-----

Открытый ключ

  • Используйте файл .crt, поставляемый GoDaddy в загруженном zip файле.

Цепочка сертификатов

  • Используйте gd_bundle-g2-g1.crt, предоставленный GoDaddy в загруженном zip файле.