AWS ELB SSL 憑證設定

Firefox SSL Untrusted with AWS ELB

其實對這類議題實在是不太熟, 去年年底把 StreetVoice 搬上了 AWS, 所以就用起了 ELB。 好不容易在 ELB 設定完 SSL 之後, 卻發現 Firefox 居然還是把網站擋掉了 XD

後來找到這一篇文章 Setting up SSL on an Amazon Elastic Load Balancer 裡面寫著一段

Don’t be fooled by the AWS dialog, the certificate chain isn’t really optional

原來我還真的被 ELB 設定 SSL 那個 Certificate Chain (Optional) 給騙了, 沒有填真的是會被擋掉啊 XD

AWS ELB SSL Dialog

最後把發憑證廠商給的 bundle.crt 給填上去就解決了,不過這種問題還是常會忘就是了, 記錄一下, 有錯的話, 給點建議

  1. 產生 Private key

$ openssl genrsa -out your-domain.com.key 2048 2. 產生 Certificate Request

$ openssl req -new -key your-domain.com.key -out you-domain.com.csr 3. 丟 Certificate Request 給 SSL 廠商, 然後下載廠商給的檔案, 應該就是 Public key 跟 Bundle chain
4. 打開 ELB SSL Certificate 填上以下資訊

  • Private key: your-domain.com.key
  • Public Key Certificate: xxxxxx.crt
  • Certificate Chain: xx_bundle.crt

大概就是這樣了, 有錯的話請有看到的大大指教。

另外摸了一下 nginx 的設定方式, 文件是這樣寫的

ssl_certificate your-domain.com.chained.crt;  
ssl_certificate_key your-domain.com.key;  

一開始一直沒搞懂 your-domain.com.chained.crt 這個檔案從哪來的, 後來找到了 nginx 的文件 才知道, 裡面寫到是這樣生出來的:

$ cat www.example.com.crt bundle.crt > www.example.com.chained.crt

OK, 基本上就是這樣了!

tzangms

Read more posts by this author.

Subscribe to Oceanic / 海海人生

Get the latest posts delivered right to your inbox.

or subscribe via RSS with Feedly!