Estoy tratando de instalar un GoDaddy certificado SSL en un nuevo equilibrador de carga estoy configurando en Amazon AWS. Originalmente creado el certificado en Godaddy el uso de la keytool programa para la instalación directa en un servidor Glassfish 3.1 servidor (ami de Amazon linux). Yo no tenía problemas para conseguir que el programa de instalación directamente en el servidor. Ahora necesito mover el certificado del servidor de la web a la nueva equilibrador de carga. Amazon requiere de la clave privada y de certificados de estar en formato PEM, así que he usado el «llaves» de la herramienta en GoDaddy para crear nuevos certificados. Cuando me cargan esos en el equilibrador de carga de la pantalla de configuración en AWS Mgmt Consola, me sale el mensaje de error: «Certificado de Clave Pública y Clave Privada no coinciden.»

Aquí es cómo estoy creando las claves:

$ openssl genrsa -des3 -out private.key 2048
$ openssl req -new -key private.key -out apps.mydomain.com.csr

Yo, a continuación, enviar el .archivo csr a GoDaddy durante las «llaves» del proceso. Una vez que las llaves se completa, me descargue el 2 recién creado certs (apps.mydomain.com.crt & gd_bundle.crt). Me descargue la selección (Apache) como el tipo de servidor (también he tratado de «otros» y «Cpanel» pero todos miran a ser el mismo).

A este punto, puedo quitar el cifrado de las privadas.archivo de clave mediante el siguiente comando:

$ openssl rsa -in private.key -out private.pem

A este punto, vuelvo a AWS Mgmt consola, crear el equilibrador de carga, agregar el servidor seguro de redirección y poner el contenido de los archivos siguientes en los campos correspondientes de la pantalla donde se pide a la instalación del certificado ssl:

private.pem --> Private Key
apps.mydomain.com.crt --> Public Key Certificate
gd_bundle.crt --> Certificate Chain

Cuando hago clic en el «botón continuar» me sale el error «Error: Certificado de Clave Pública y Clave Privada no coinciden.»

– ¿Hay una manera que puedo probar que estoy recibiendo un mensaje de error válido desde Amazon? Parece extraño para mí que las claves no coinciden cuando estoy siguientes GoDaddy las instrucciones de bastante cerca.

He tratado de creación de la privada.clave de archivos sin cifrado RSA antes de la creación de la .la rse y que no parece hacer ninguna diferencia.

También estoy suponiendo que el .crt archivos que estoy descargando de GoDaddy son en .Formato PEM, pero no estoy seguro de cómo comprobarlo.

Alguna idea?

  • Desbordamiento de la pila es un sitio para la programación y desarrollo de las preguntas. Esta pregunta parece ser off-topic porque no es acerca de la programación o de desarrollo. Consulte ¿Qué temas puedo preguntar aquí en el Centro de Ayuda. Tal vez Super Usuario sería un mejor lugar para preguntar. Véase también Donde puedo publicar preguntas sobre Dev Ops?.
  • Este post tiene más de 3 años, ¿por qué molestarse en movimiento ahora?
  • Felby – la gente a menudo dice, «… pero al ver este post y post». Así que no es suficiente para mantener a los nuevos puestos de ordenado – tenemos que obtener al menos un mensaje en los comentarios de edad, también. Y por lo que vale la pena, yo no;t piensa que es una mala pregunta. Solo es un poco off-topic de Desbordamiento de Pila.
  • usted debería considerar la posibilidad de esta respuesta para su aceptación. Es uno de los la mayoría de los desarrolladores están buscando cuando este problema viene con AWS.
InformationsquelleAutor Felby | 2011-07-19

6 Comentarios

  1. 61

    Para mí, fue un sencillo de dos pasos:

    1. Convertir la clave privada a PEM:

      openssl rsa -in yourdomain.key -outform PEM

    2. Convertir el certificado y el certificado de lote a PEM:

      openssl x509 -inform PEM -in yourdomain.crt

      openssl x509 -inform PEM -in bundle.crt

    • Esta respuesta en particular que realmente me ayudó. Gracias Jonathan. Para el registro, sudominio.crt es la clave pública, el certificado que recibió de su proveedor, (podría ser una .cer demasiado)
    • sigo recibiendo un error WARNING: can't open config file: /etc/pki/tls/openssl.cnf
    • algunos comandos OpenSSL tomar un -config opción, también. Lo utilizan para especificar la ruta de acceso al archivo de configuración que está utilizando.
    • Debe marcar uno como el aceptado respuesta. Esta es la única respuesta que no es la de crear un SSL problema de confianza con los dispositivos iOS.
    • Esta respuesta realmente útil con SSL wildcard. Usted tiene que convertir tanto el dominio.crt y gd_bundle.archivo de crt.
  2. 39

    Sólo para el registro y cualquier otra persona que está tratando de averiguar:

    sudominio.clave
    -> el comando de terminal: sudo openssl rsa -in yourdomain.key -outform PEM -out yourdomain.pem
    -> la clave privada

    sudominio.crt
    -> clave pública

    gd_bundle.crt
    -> certificado de la cadena de

    y ya está bueno para ir 🙂

    • OMG, he perdido tantas horas con el problema, sólo me salvó! He comprado un certificado RapidSSL: el truco era 1) convertir la clave privada como se sugiere aquí, y 2) invertir el orden de los certificados de la cadena proporcionada por RapidSSL. Gracias!
    • mantiene me pide una contraseña pero mi rapidssl cert se hizo sin una
    • El comando sudo le pida una contraseña de administrador, a menos que su cuenta está configurada para no requerir una contraseña a través de un par de métodos diferentes. Es que la contraseña que se está refiriendo también?
    • Para agregar algo donde pueda ser encontrado por alguien que lo necesita, tenemos un Host Gator certificado de un cliente, y me pareció bastante bien establecido – no pem conversiones, y el CA paquete ya estaba concatenados. Sin embargo, no iría en Amazon. Es la misma cosa con el fin de certs en el paquete. Invirtiendo el orden, se fue a trabajar.
  3. 23

    Parece que el problema era la forma en la que me estaba copiando el contenido de la clave y los certs en la consola de Administración de AWS. Yo estaba usando un escritorio de Ubuntu corriendo en Virtual Box en un escritorio de Windows 7; copiar y pegar los valores de una gedit pantalla en el navegador se ejecuta en el cuadro de Windows. Una vez que abrí la llave y el cert archivos en la misma caja que el navegador web (Windows en este caso) el cert fue a través de bien. Supongo que algunas partes del archivo que no se lo que es más correctamente cuando se utiliza el clip compartido de la junta entre la Caja Virtual host y cliente. Caso cerrado.

    • Puede usted aceptar su respuesta para que la gente sepa que esto ha sido resuelto?
    • Extraño, yo pensé que ya había aceptado que hace mucho tiempo…
  4. 7

    Hemos encontrado una solución alternativa a este problema. Estábamos teniendo los mismos síntomas con el mismo error.

    A continuación, tratamos de volver a entrar a la pem códigos una vez más, pero esta vez nos aseguramos de que pulsar enter una vez y asegúrese de que el cursor en una línea en blanco al final de cada ventana. A continuación, nos salvamos de ella.
    SE TRABAJÓ.

    Nuestro problema esta solucionado, por lo que podría resolver por otros.

  5. 1

    Un poco de gotcha. Estoy usando un cuadro de Windows (Win 7 Pro) y cuando he usado el windows puerto de OpenSSL, la emitida ficheros Unix estilo de final de caracteres de línea (LF).

    Tuve que convertir el archivo al estilo de Windows (CRLF) para la transferencia de la clave privada.

  6. 0

    Puedo sugerir una alternativa de solución y de una información a la gente.
    En general todos los certificados son de PEM formato de archivo. Usted sólo puede abrir un bloc de notas o cualquier editor de texto y arrastre los archivos que usted recibió en .crt formato de archivo. Que normalmente se llama como .PEM archivo.Si el certificado cargado en su keytool puede exportar el certificado a un archivo pfx de keytool. A continuación, puedes separar el archivo pfx de la clave privada desde el archivo pfx. Debido a que el archivo pfx es la combinación de su certificado y la clave privada.Así que usted puede obtener por separado el archivo de clave privada y de uso en su amazon aws.

    Sospecho que hay otra manera de instalar el certificado. Puede ser que usted puede contactar a la autoridad de certificación y es allí cualquier manera de obtener su certificado a ser reeditado.

Dejar respuesta

Please enter your comment!
Please enter your name here