Comment installer un certificate Thawte SSL sur Amazon Elastic Load Balancer?

Voici ma situation. Nous avons généré un certificate SSL de Thawte pour un site que nous hébergeons sur EC2. Nous avons nos servers chargés en équilibrant en utilisant Elastic Load Balancer.

Thawte nous donne un certificate signé PKCS. Lorsque je vais à la console Amazon pour générer un nouvel équilibreur de charge afin que je puisse joindre le certificate, il nécessite 4 champs:

Certificate Name Private Key Public Key Certificate Chain 

Là où je me suis confondu, c'est que nous avons seulement le certificate 1, mais les keys privées et publiques devraient être différentes.

Quel est le process pour compléter cela?

  1. Le nom du certificate est votre choix – il suffit d'identifier le certificate plus tard
  2. La key privée est la key (PEM, base-64) que vous avez générée lors de la création de votre RSE – vous copyz et collez l'intégralité du file dans le champ, à partir de -----BEGIN RSA PRIVATE KEY----- to -----END RSA PRIVATE KEY----- (inclus).
  3. La key publique est le PEM codé, basé sur 64 verions de ce qui est obtenu à partir de Thawte (X.509). Copiez le contenu du X.509 dans un éditeur de text (p. Ex. Vi), enregistrez-le avec une extension .cer. Utilisez OpenSSL pour l'afficher dans le format requirejs:

     openssl x509 -inform DER -in yourfilefromthawte.cer 

    Copiez et collez la sortie de -----BEGIN CERTIFICATE----- à -----END CERTIFICATE----- (inclus) dans le champ.

  4. Certificate Chain est le package Thawte CA que vous pouvez download à partir de leur site. Pour le Serveur Web SSL Thawte et les certificates de caractères generics (peut être différent si vous avez un type de certificate différent), leur lot CA est disponible sur leur site . (Téléchargez la «version de la CA groupée», elle est déjà au format PEM, copyz et collez le file entier (les deux certificates) dans le champ)

Découvrez ce thread AWS pour plus d'informations (bien que cela soit spécifique à Verizon, les idées de base s'appliquent).

Un file PKCS n'est pas un «certificate», il s'agit essentiellement d'un set qui inclut généralement la key privée, le certificate pour votre domaine et éventuellement le certificate CA et les certificates intermédiaires.

En utilisant openssl, il est assez facile d'extraire les différents composants d'un PKCS12. De plus, il existe quelques autres outils que vous pouvez utiliser pour convertir. Une search de pkcs12 à pem devrait vous aider à find beaucoup.

La command que je cours, quand je dois le faire, c'est openssl pkcs12 -in the file.pfx -out outputfile.txt -nodes . Ensuite, je twig manuellement outputfile.txt dans les différentes keys / certs avec un prochain éditeur.