SSLリスナーを追加できません。キーのサーバー証明書が見つかりません

GoDaddyから購入した証明書を使用して、ロードバランサーにSSLを設定しようとしています。

コンソールで証明書をアップロードしようとすると、エラーが発生しました

ロードバランサーの作成に失敗しました：キーのサーバー証明書が見つかりません：arn：aws：iam :: ************：server-certificate / mycert

SSL証明書を追加するときに、このエラーに遭遇したことはありません。iamここでなぜ使用されているのかわかりません。

いくつかのグーグルの後、iamaws cli を使用して証明書をアップロードすることができました（もう一度、なぜこれを行う必要があるのか​​わかりません）。

リスナーを変更すると、アップロードした証明書が既存のSSL証明書として表示されるようになりました。ただし、変更をロードバランサーに保存しようとすると、同じエラーが発生します。証明書が存在することを確認しました：

$ aws iam list-server-certificates
{
    "ServerCertificateMetadataList": [
        {
            "ServerCertificateId": "*********************", 
            "ServerCertificateName": "mycert", 
            "Expiration": "2018-11-19T18:47:38Z", 
            "Path": "/", 
            "Arn": "arn:aws:iam::************:server-certificate/mycert", 
            "UploadDate": "2015-11-19T19:23:32Z"
        }
    ]
}

（ここで難読化されたアカウント番号がエラーと同じであることを確認しました）

ここから立ち往生しています。このロードバランサーに証明書を適用できないのはなぜですか？

2015年11月19日木曜日11:47:18 PST 2015年編集

しばらく待ってからログアウトしてからログインすると、SSL証明書でリスナーを更新できました。ただし、正しく機能していないようです。HTTPSリクエストでドメインをロードしようとするとタイムアウトします。証明書を読み込めないようです

$ echo | openssl s_client -connect www.example.com:443 2>/dev/null | openssl x509 -noout -subject
unable to load certificate
69457:error:0906D06C:PEM routines:PEM_read_bio:no start line:/SourceCache/OpenSSL098/OpenSSL098-52.30.1/src/crypto/pem/pem_lib.c:648:Expecting: TRUSTED CERTIFICATE

WebコンソールからELBを作成しようとしたときに、同じ問題に直面しました。GUI経由で新しい証明書のアップロードを作成しようとしていましたが、最終的に同じエラーで失敗しました。証明書ファイルをaws cli経由で個別にアップロードすることで解決しました。このドキュメントで説明されている-http ://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/ssl-server-cert.html#upload-cert

このような証明書、秘密鍵、証明書チェーンをアップロードします

aws iam upload-server-certificate --server-certificate-name my-server-cert \
  --certificate-body file://my-certificate.pem --private-key file://my-private-key.pem \
  --certificate-chain file://my-certificate-chain.pem

次に、ウェブコンソールに移動して、[AWS Identity and Access Management（IAM）から既存の証明書を選択]オプションを選択し、アップロードしたばかりの証明書ペアを選択します。その後は正常に動作します。

エラーは誤解を招くものです。証明書をアップロードします。エラー終了を受け取ったら、変更に戻ります。既存のIAM証明書を選択し、ドロップダウンをクリックします。新しい証明書が表示されます。

私は同じ問題を抱えていましたが、ありがたいことにCLIを押すことなく解決できました。証明書自体の後に、公開鍵証明書フィールドに証明書チェーンを貼り付けることにより、ELBにHTTPSリスナーを追加しました。

このエラーは、証明書チェーンがコンソールの独自の証明書チェーン入力ボックスに貼り付けられたときにのみ現れました（オプションとしてマークされています）。なぜこれが違いを生むのかは確かではありませんが、ELBでHTTPSリスナーを作成し、すべてがうまくいきました。

私の場合、証明書名の特殊文字：。（dot）が原因でした。証明書名からすべてのドットを削除した後、すべてが正常に機能しました

私もこれを打ちました。新しいELBを作成するために5回試行しましたが、毎回失敗しました。APIバリアントを試したことはありませんが、SSL証明書を設定することができました

1. 最初にELBを作成します。それから
2. HTTPからHTTPSに変更し、証明書+キー+中間物をアップロードしてリスナーを変更します。

私は同じ問題に直面しました。私の場合、SSL証明書をアップロードするときに「キーのサーバー証明書が見つかりません」というエラーが表示されましたが、最終的にはアップロードされてドロップダウンに表示されます。CLIを使用してアップロードするときにエラーが発生しません。AWSサポートに連絡したときに、以下のエラーの理由を教えてくれました

これが起こる理由は、最終的な一貫性です。アップロードされた証明書はIAMに保存されます。IAMには大規模なデータベースがあるため、アップロードされた証明書はすべてのデータベースに伝播する必要があります。伝播するのに十分な時間がない場合、この証明書を取得しようとしているELBは、クエリしているエンドポイントでそれを見つけることができません。したがって、「キーのサーバー証明書が見つかりません」をスローします。最終的に伝播されると、後でアップロード済みの証明書として見ることができます

これを回避するには、awsコンソールの証明書マネージャーにアクセスし、最初にそこにアップロードします。次に、ロードバランサーウィザードを使用して、アップロードした証明書を選択します。

ここでAWSウェブインターフェースを使用するときの同じ問題：有効な証明書、正しいキー、完全なチェーンをアップロードしましたが、上記のエラーが発生しました。

別の（テスト）ロードバランサーに証明書をアップロードしようとしました。アップロードは機能しましたが、リスナーのステータスには「無効な証明書」と表示されます。

「証明書の選択」ダイアログを再度開いたときに、証明書が選択されていません。ただし、証明書は証明書リストで選択できるため、明らかに正しくアップロードされました。

それで、元のロードバランサーに戻って、このアップロードされた証明書を割り当てようとしました。奇妙なことに、それはリストにありませんでした。新しい試みをして、証明書とそのキーをアップロードしましたが、証明書チェーンは省略しました。これはうまくいったので、チェーンでなければならないことを知っていましたが、それは正しくありません（それはcommodo-certです）。公式ページからチェーンを再度ダウンロードし、バンドル全体をアップロードして、機能しました。今奇妙なこと：破損したものと新しくダウンロードしたものの両方を比較したとき、それらは同じように見えます。同じ日付、同じシリアル、同じ同じ。しかし異なる。

簡単に言えば、中間証明書を再度ダウンロードすることで機能しました。

これと同じ問題があり、最終的に修正されたのは、ロードバランサーのセキュリティグループに入り、ポート443が開かれていることを確認することでした。

Classicロードバランサーを作成する前に、AMI（本番環境のインスタンスのイメージ）を作成する必要があります。これにより、ロードバランサーの作成の設定に移動し、プロセスを再度実行します。

オプションの証明書チェーンフィールドを入力しないことで、これを回避しました。

証明書を直接アップロードする場合、同じ問題が発生しました。

証明書マネージャー（AWS証明書マネージャー-ACM）を使用した場合、証明書をアップロードできました。その後、ドロップダウンリスト内で証明書を選択するだけです。