如何在 CloudFront 上正确安装 SSL？

Question

您好，我刚刚为我的域购买了 SSL。在与我的 SSL 条款联系后，我从我的提供商那里获得了 5 个文件。

my_domain.crt
AddTrustExternalCARoot.crt
TrustedSecureCertificateAuthority5.crt
USERTrustRSAAddTrustCA.rt
my_domain.private_key

我的提供商说我必须安装所有这些。

我使用 AWS CLI 通过此命令进行安装。

aws iam upload-server-certificate --server-certificate-name my_domain \
--certificate-body file://my_domain.crt \
--private-key file://my_domain.private_key \
--certificate-chain file:://AddTrustExternalCARoot.crt \
--path /cloudfront/

我尝试了所有的 .crt 文件，但只有 TrustedSecureCertificateAuthority5.crt 通过了。

其他人我得到了这个错误。

调用 UploadServerCertificate 操作：无法验证证书 链必须以立即签名证书开头，然后是 任何中间人。

在使用@987654321@ 检查我的 SSL 之后，我得到了这个。

并非所有网络浏览器都信任该证书。你可能需要 安装中间/链证书以将其链接到受信任的根 证书。了解有关此错误的更多信息。解决此问题的最快方法 问题是联系您的 SSL 提供商。

Common name: my_domain
SANs: my_domain
Organization: My Org
Location:  US
Valid from : Date
Serial Number: 
Signature Algorithm: 
Issuer: Trusted Secure Certificate Authority 5  

Common name: Trusted Secure Certificate Authority 5
Organization: Corporation Service Company
Location: Wilmington, DE, US
Valid from September 9, 2014 to September 9, 2024
Serial Number: 
Signature Algorithm: 
Issuer: USERTrust RSA Certification Authority

Answer 1

证书链文件是一个信任“链”。它是所有（通常）提供的*Trust*.crt 文件内容的组合，它们需要按特定顺序组合，包括每个文件中的开始/结束行。

所有.crt 文件都有一个主题（证书证明有效的实体）和一个颁发者（签署证书的实体）。

您必须建立并呈现此信任“链”，以便每个证书的主题反映先前证书的颁发者。

在您域的证书上使用openssl x509 -text -noout -in <filename>，然后在每个*Trust*.crt 证书文件上使用以查找它们的“颁发者”和“主题”值。

从您域的证书中看到的颁发者值开始，找到显示您域的证书颁发者值的 .crt 文件...作为主题。该文件将位于链中的第一个。

然后记下该文件的 Issuer 并找到下一个文件，该文件的 Subject 将与先前文件的 Issuer 相匹配...依此类推，直到您弄清楚组装它们的顺序。链中的最后一个证书很可能对 Issuer 和 Subject 具有相同的值，因为它是链的末端。

将三个*Trust*.crt 文件的内容按照上述步骤确定的顺序组合成一个新文件，并将您创建的新文件用作“证书链”文件。请记住，您的域的 .crt 文件不会进入链文件，因为您是单独发送的。