質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
86.02%
SSL

SSL(Secure Sockets Layer)とは、暗号化されたプロトコルで、インターネット上での通信セキュリティを提供しています。

AWS(Amazon Web Services)

Amazon Web Services (AWS)は、仮想空間を機軸とした、クラスター状のコンピュータ・ネットワーク・データベース・ストーレッジ・サポートツールをAWSというインフラから提供する商用サービスです。

Q&A

解決済

AWS Certificate Managerに外部で取得した証明書をインポートしたがエラーになる

glass_fall_31
glass_fall_31

総合スコア12

SSL

SSL(Secure Sockets Layer)とは、暗号化されたプロトコルで、インターネット上での通信セキュリティを提供しています。

AWS(Amazon Web Services)

Amazon Web Services (AWS)は、仮想空間を機軸とした、クラスター状のコンピュータ・ネットワーク・データベース・ストーレッジ・サポートツールをAWSというインフラから提供する商用サービスです。

2回答

0グッド

0クリップ

3273閲覧

投稿2019/03/22 10:34

前提・実現したいこと

ELBにて運用しているWebサービスをこれまでACMで作成したDV証明書で運用していましたが、
EV証明書に変えたいです。

EV証明書を取得し、ACMのコンソールでインポートを実施したのですが、
以下のエラーメッセージが表示され、取り込むことができません。

発生している問題・エラーメッセージ

ACMコンソールで実施した場合

申し訳ありません。 The certificate is not valid. 以下の戻る ボタンを選択して、修正します。

AWS CLIで実施した場合

$ aws acm import-certificate --certificate file://service.20190322.cer --certificate-chain file://CertificateChain.pem --private-key file://private.key.pem An error occurred (ValidationException) when calling the ImportCertificate operation: The certificate is not valid.

試したこと

  • 既に サービス名.jp, *.サービス名.jp の証明書があるのが悪いのかと思い、別リージョンの真っ新な場所で試しましたが、エラーメッセージは変わらずでした。
  • 今回取得したEV証明書は CN=www.サービス名.jp、 Subject Alternative Nameに www.サービス名.jp, corp.サービス名.jp, サービス名.jp を持っています。
  • 証明書インポートのトラブルシューティングを確認した結果を添付します。確認方法がこれであってるかこうなってくると確信持てないのですが…

  • プライベートキーは暗号化されていない
  • 証明書、プライベートキー、および証明書チェーンは PEM エンコードされる必要がある
$ openssl rsa -text -noout -in private.key.pem -inform pem Private-Key: (2048 bit) ...(省略)
  • X.509 バージョン 3 の SSL/TLS 証明書
  • 証明書は、インポート時に有効である
$ openssl x509 -text -noout -in service.20190322.cer -inform pem Certificate: Data: Version: 3 (0x2) Serial Number: 67:52:99:27:62:14:17:5a:fa:a6:98:b7 Signature Algorithm: sha256WithRSAEncryption Issuer: C=BE, O=GlobalSign nv-sa, CN=GlobalSign Extended Validation CA - SHA256 - G3 Validity Not Before: Mar 22 02:25:07 2019 GMT Not After : Mar 22 02:25:07 2021 GMT ...(省略)
  • 証明書が CA によって署名されている場合、ルート認証局にチェーンする証明書チェーンを含める必要がある
  • 証明書チェーンに証明書を含めない
$ openssl x509 -text -noout -in gsextendvalsha2g3r3.cer -inform pem Certificate: Data: Version: 3 (0x2) Serial Number: 48:a4:02:dd:27:92:0d:a2:08:34:9d:d1:99:7b Signature Algorithm: sha256WithRSAEncryption Issuer: OU=GlobalSign Root CA - R3, O=GlobalSign, CN=GlobalSign Validity Not Before: Sep 21 00:00:00 2016 GMT Not After : Sep 21 00:00:00 2026 GMT Subject: C=BE, O=GlobalSign nv-sa, CN=GlobalSign Extended Validation CA - SHA256 - G3 ...(省略) $ openssl x509 -text -noout -in rootcacert_r3.cer -inform pem Certificate: Data: Version: 3 (0x2) Serial Number: 04:00:00:00:00:01:21:58:53:08:a2 Signature Algorithm: sha256WithRSAEncryption Issuer: OU=GlobalSign Root CA - R3, O=GlobalSign, CN=GlobalSign Validity Not Before: Mar 18 10:00:00 2009 GMT Not After : Mar 18 10:00:00 2029 GMT Subject: OU=GlobalSign Root CA - R3, O=GlobalSign, CN=GlobalSign ...
  • チェーンの各証明書は、先行する 1 つの証明書を直接認定する必要がある (中間→rootの順に格納)
$ cat gsextendvalsha2g3r3.cer rootcacert_r3.cer > CertificateChain.pem

実施環境

東京リージョンです

$ cat ~/.aws/config [default] region = ap-northeast-1

以下のような質問にはグッドを送りましょう

  • 質問内容が明確
  • 自分も答えを知りたい
  • 質問者以外のユーザにも役立つ

グッドが多くついた質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

気になる質問をクリップする

クリップした質問は、後からいつでもマイページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

下記のような質問は推奨されていません。

  • 間違っている
  • 質問になっていない投稿
  • スパムや攻撃的な表現を用いた投稿

適切な質問に修正を依頼しましょう。

回答2

0

自己解決

自己解決しました。
証明書ファイルの各行末尾に空白文字が入っていました。
削除したところ無事にインポートできました。

Webコンソールの場合、入力→レビュー→インポート実行という手順になるところ
レビューは通って証明書情報が正しく表示されたので、証明書に問題は無いと思い込んでしまいました。

お騒がせしてしまいまして申し訳ありません。

投稿2019/03/26 00:37

glass_fall_31

総合スコア12

良いと思った回答にはグッドを送りましょう。
グッドが多くついた回答ほどページの上位に表示されるので、他の人が素晴らしい回答を見つけやすくなります。

下記のような回答は推奨されていません。

  • 間違っている回答
  • 質問の回答になっていない投稿
  • スパムや攻撃的な表現を用いた投稿

このような回答には修正を依頼しましょう。

0

以下を試してもらうことは可能ですか?

aws iam upload-server-certificate \ --server-certificate-name service.20190322 \ --certificate-body file://service.20190322.cer \ --private-key file://private.key.pem \ --certificate-chain file://CertificateChain.pem

投稿2019/03/24 13:00

moonphase

総合スコア6619

良いと思った回答にはグッドを送りましょう。
グッドが多くついた回答ほどページの上位に表示されるので、他の人が素晴らしい回答を見つけやすくなります。

下記のような回答は推奨されていません。

  • 間違っている回答
  • 質問の回答になっていない投稿
  • スパムや攻撃的な表現を用いた投稿

このような回答には修正を依頼しましょう。

回答へのコメント

glass_fall_31

2019/03/25 02:22 編集

回答ありがとうございます。 成功しました。 SERVERCERTIFICATEMETADATA arn:aws:iam::************:server-certificate/ ...(以下略)

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
86.02%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問

同じタグがついた質問を見る

SSL

SSL(Secure Sockets Layer)とは、暗号化されたプロトコルで、インターネット上での通信セキュリティを提供しています。

AWS(Amazon Web Services)

Amazon Web Services (AWS)は、仮想空間を機軸とした、クラスター状のコンピュータ・ネットワーク・データベース・ストーレッジ・サポートツールをAWSというインフラから提供する商用サービスです。