来自 AWS API Gateway（RapidSSL 证书）的“无法验证证书链”答案

【问题标题】："Unable to validate certificate chain" from AWS API Gateway (RapidSSL certificate)来自 AWS API Gateway（RapidSSL 证书）的“无法验证证书链”
【发布时间】：2016-09-25 14:59:26
【问题描述】：

SSL2Buy 为我提供了三个文件：mysite.ssl2.crt、mysite.ssl2.intermediate 和 mysite.ssl2.key。我不相信中间文件算作证书链，但我不知道如何找到证书链。有人知道吗？

我从 AWS 得到的错误是这样的（当我尝试将中间文件作为证书链时）：Unable to validate certificate chain. The certificate chain must start with the immediate signing certificate, followed by any intermediaries in order. The index within the chain of the invalid certificate is: -1 (Service: AmazonIdentityManagement; Status Code: 400; Error Code: MalformedCertificate; Request ID: <redacted>)

我的网站已经安装了适当的 SSL。我只是想向 API Gateway 提供证书链。

【问题讨论】：

我已经尝试了knowledge.rapidssl.com/support/ssl-certificate-support/…的所有中间体
我也试过openssl s_client -host mysite.com -port 443 -prexit -showcerts。我不完全确定我应该复制/粘贴其中的哪一部分，但我尝试了多种变体，但到目前为止都没有奏效。
“我不相信中间文件算作证书链” 是的，确实如此，但有些 CA 以错误的顺序为您提供链（我不知道为什么，我假设一些网络服务器也期望它们以错误的顺序排列，所以它们是“有帮助的”）但它相对容易解决。中间文件中有多少个证书？（您可以通过计算文件中的BEGIN/END 块来确定这一点）。
@Michael-sqlbot 只有一个。我记得我想把这一切都放在我的 CDN 后面，所以我设法让这个工作正常进行，所以我只是使用默认网关作为源，让我的 CDN 为我做路由。 :P 对未来的人不是很有帮助，但我确实尝试了所有这些答案和 cmets，但无论出于何种原因，它们都没有奏效。

标签： amazon-web-services ssl aws-api-gateway

【解决方案1】：

如 cmets 中所述，通常中级证书正是您需要提供的。在某些情况下，您需要同时提供中间证书和附加链。

您可以使用open ssl verify 来验证链，然后再尝试将其上传到 API Gateway。

【讨论】：

【解决方案2】：

证书链包含直接信任根证书的颁发 CA。 SSL 证书链将中间证书指向根，您应该安装证书颁发者提供的根 CA 包。您可以使用以下链接在此处找到包含根证书和中间证书的不同 CA 捆绑包，这样您就可以将证书链提供给 API 网关。

https://www.ssl2buy.com/wiki/ssl-intermediate-and-root-ca-bundle/

【讨论】：