Q&A
回答ありがとうございます。
成功しました。
SERVERCERTIFICATEMETADATA arn:aws:iam::************:server-certificate/ ...(以下略)
前提・実現したいこと
ELBにて運用しているWebサービスをこれまでACMで作成したDV証明書で運用していましたが、
EV証明書に変えたいです。
EV証明書を取得し、ACMのコンソールでインポートを実施したのですが、
以下のエラーメッセージが表示され、取り込むことができません。
発生している問題・エラーメッセージ
ACMコンソールで実施した場合
申し訳ありません。 The certificate is not valid. 以下の戻る ボタンを選択して、修正します。
AWS CLIで実施した場合
$ aws acm import-certificate --certificate file://service.20190322.cer --certificate-chain file://CertificateChain.pem --private-key file://private.key.pem An error occurred (ValidationException) when calling the ImportCertificate operation: The certificate is not valid.
試したこと
- 既に
サービス名.jp, *.サービス名.jpの証明書があるのが悪いのかと思い、別リージョンの真っ新な場所で試しましたが、エラーメッセージは変わらずでした。 - 今回取得したEV証明書は
CN=www.サービス名.jp、 Subject Alternative Nameにwww.サービス名.jp, corp.サービス名.jp, サービス名.jpを持っています。 - 証明書インポートのトラブルシューティングを確認した結果を添付します。確認方法がこれであってるかこうなってくると確信持てないのですが…
- プライベートキーは暗号化されていない
- 証明書、プライベートキー、および証明書チェーンは PEM エンコードされる必要がある
$ openssl rsa -text -noout -in private.key.pem -inform pem Private-Key: (2048 bit) ...(省略)
- X.509 バージョン 3 の SSL/TLS 証明書
- 証明書は、インポート時に有効である
$ openssl x509 -text -noout -in service.20190322.cer -inform pem Certificate: Data: Version: 3 (0x2) Serial Number: 67:52:99:27:62:14:17:5a:fa:a6:98:b7 Signature Algorithm: sha256WithRSAEncryption Issuer: C=BE, O=GlobalSign nv-sa, CN=GlobalSign Extended Validation CA - SHA256 - G3 Validity Not Before: Mar 22 02:25:07 2019 GMT Not After : Mar 22 02:25:07 2021 GMT ...(省略)
- 証明書が CA によって署名されている場合、ルート認証局にチェーンする証明書チェーンを含める必要がある
- 証明書チェーンに証明書を含めない
$ openssl x509 -text -noout -in gsextendvalsha2g3r3.cer -inform pem Certificate: Data: Version: 3 (0x2) Serial Number: 48:a4:02:dd:27:92:0d:a2:08:34:9d:d1:99:7b Signature Algorithm: sha256WithRSAEncryption Issuer: OU=GlobalSign Root CA - R3, O=GlobalSign, CN=GlobalSign Validity Not Before: Sep 21 00:00:00 2016 GMT Not After : Sep 21 00:00:00 2026 GMT Subject: C=BE, O=GlobalSign nv-sa, CN=GlobalSign Extended Validation CA - SHA256 - G3 ...(省略) $ openssl x509 -text -noout -in rootcacert_r3.cer -inform pem Certificate: Data: Version: 3 (0x2) Serial Number: 04:00:00:00:00:01:21:58:53:08:a2 Signature Algorithm: sha256WithRSAEncryption Issuer: OU=GlobalSign Root CA - R3, O=GlobalSign, CN=GlobalSign Validity Not Before: Mar 18 10:00:00 2009 GMT Not After : Mar 18 10:00:00 2029 GMT Subject: OU=GlobalSign Root CA - R3, O=GlobalSign, CN=GlobalSign ...
- チェーンの各証明書は、先行する 1 つの証明書を直接認定する必要がある (中間→rootの順に格納)
$ cat gsextendvalsha2g3r3.cer rootcacert_r3.cer > CertificateChain.pem
実施環境
東京リージョンです
$ cat ~/.aws/config [default] region = ap-northeast-1
回答2件
0
自己解決
自己解決しました。
証明書ファイルの各行末尾に空白文字が入っていました。
削除したところ無事にインポートできました。
Webコンソールの場合、入力→レビュー→インポート実行という手順になるところ
レビューは通って証明書情報が正しく表示されたので、証明書に問題は無いと思い込んでしまいました。
お騒がせしてしまいまして申し訳ありません。
投稿2019/03/26 00:37
総合スコア12
0
以下を試してもらうことは可能ですか?
aws iam upload-server-certificate \ --server-certificate-name service.20190322 \ --certificate-body file://service.20190322.cer \ --private-key file://private.key.pem \ --certificate-chain file://CertificateChain.pem
投稿2019/03/24 13:00
総合スコア6621
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。