Ich versuche, ein GoDaddy-SSL-Zertifikat auf einem neuen Load Balancer zu installieren, den ich in Amazon AWS einrichte. Ich habe das Zertifikat ursprünglich bei Godaddy mit dem Programm keytool für die direkte Installation auf einem Glassfish 3.1-Server (Amazon Linux Ami) erstellt. Ich hatte keine Probleme, dieses Setup direkt auf den Server zu bekommen. Ich muss jetzt das Zertifikat vom Webserver auf den neuen Load Balancer verschieben. Amazon verlangt, dass der private Schlüssel und die Zertifikate im PEM-Format vorliegen. Daher habe ich bei GoDaddy das Tool "Rekey" verwendet, um neue Zertifikate zu erstellen. Wenn ich diese im Load Balancer-Setup-Bildschirm der AWS Mgmt Console lade, wird die Fehlermeldung angezeigt: "Zertifikat für öffentlichen Schlüssel und privater Schlüssel stimmen nicht überein."
So erstelle ich die Schlüssel:
$ openssl genrsa -des3 -out private.key 2048
$ openssl req -new -key private.key -out apps.mydomain.com.csr
Ich sende dann die CSR-Datei während des "Rekey" -Prozesses an GoDaddy. Sobald der Neuschlüssel abgeschlossen ist, lade ich die 2 neu erstellten Zertifikate herunter (apps.mydomain.com.crt & gd_bundle.crt). Ich lade sie herunter und wähle (Apache) als Servertyp (ich habe auch "other" und "Cpanel" ausprobiert, aber alle scheinen gleich zu sein).
Zu diesem Zeitpunkt entferne ich die Verschlüsselung mit dem folgenden Befehl aus der Datei private.key:
$ openssl rsa -in private.key -out private.pem
An diesem Punkt gehe ich zurück in die AWS Mgmt-Konsole, erstelle den Load Balancer, füge die sichere Serverumleitung hinzu und füge den Inhalt der folgenden Dateien in die entsprechenden Felder auf dem Bildschirm ein, in dem das SSL-Zertifikat eingerichtet werden soll:
private.pem --> Private Key
apps.mydomain.com.crt --> Public Key Certificate
gd_bundle.crt --> Certificate Chain
Wenn ich auf die Schaltfläche "Weiter" klicke, wird die Fehlermeldung "Fehler: Öffentliches Schlüsselzertifikat und privater Schlüssel stimmen nicht überein." Angezeigt.
- Gibt es eine Möglichkeit, um zu testen, ob ich eine gültige Fehlermeldung von Amazon erhalte? Es scheint mir seltsam, dass die Schlüssel nicht übereinstimmen würden, wenn ich den Anweisungen von GoDaddy ziemlich genau folge.
Ich habe versucht, die Datei private.key ohne RSA-Verschlüsselung vor dem Erstellen der CSR-Datei zu erstellen, und das scheint keinen Unterschied zu machen.
Ich gehe auch davon aus, dass die von GoDaddy heruntergeladenen CRT-Dateien im PEM-Format vorliegen, bin mir aber nicht sicher, wie ich dies überprüfen soll.
Irgendwelche Ideen?