将SSL证书上载到IAM

Question

我从CA (SSL)收到了4个证书：

根CA证书- 123.crt 中级CA证书- 456.crt 中级CA证书- 789.crt 您的PositiveSSL证书- 654.crt

我已经生成了circuit.pem、、-private、key、和csr.pem，通过它们我获得了这些证书。

现在，我想将这些证书上传到IAM

    aws iam upload-server-certificate --server-certificate-name certificate_object_name --certificate-body file://public_key_certificate_file --private-key file://privatekey.pem --certificate-chain file://certificate_chain_file 

带服务器证书的AWS -Working

但我无法判断哪个是我的服务器证书，以及如何上传我的所有证书。

请帮助我以上证书的上述命令。

我试过:

    aws iam upload-server-certificate --server-certificate-name MyServerCertificate --certificate-body file://www_advisorcircuit_com.crt --private-key file://circuit.pem --certificate-chain file://COMODORSAAddTrustCA.crt

我得到了这个错误：

A client error (InvalidClientTokenId) occurred when calling the UploadServerCertificate operation: The security token included in the request is invalid.

Answer 1

我不得不说，让这件事成功是一件非常痛苦的事。基本上，您缺少用户配置的详细信息。您必须使用https://console.aws.amazon.com/iam/home这里的IAM服务在亚马逊上创建一个用户。注意你的区域在网址中的位置，你以后会需要的。因此，创建一个用户，附加一个策略(我附加了一个AdministratorAccess)，“创建访问键”，下载用户的凭据并使用它们运行：

$ aws configure
AWS Access Key ID [None]: AKIAIOSFODNN7EXAMPLE
AWS Secret Access Key [None]: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
Default region name [None]: us-west-2
Default output format [None]: json

关于使证书安装命令正常工作的一些注意事项。确保该文件具有可读权限.我想我指定了664。我在所有文件上指定了.pem扩展名.我相信AWS更喜欢旧式的密钥文件，所以我不得不运行

openssl rsa -in my_key.key -text > new_key.pem  

Answer 2

一个额外的提示(因为这就是我的遭遇)

运行echo $AWS_ACCESS_KEY_ID和echo $AWS_SECRET_ACCESS_KEY以检查是否设置了这些ENV变量。

无论您将什么传递给aws configure，ENV变量都会覆盖它。

配置设置和优先级

Answer 3

是的，即使您已经配置了对用户的所有IAM访问，然后尝试使用他们的访问密钥上传证书，这也是很棘手的。

这个问题我有很多次了。我就是这样解决的。

• 当用户没有必要的IAM访问权限(如上传服务器证书等)时，您需要确保用户拥有正确的访问权限，可以在给予用户完整的->访问权限之后尝试。
• 当然，该区域和其他用户的详细信息应该是正确的，正如前面的答案所讨论的那样。
• 正在尝试使用旧的会话终端(此终端运行时间超过24小时)，->重新启动终端并尝试相同的命令。是的，我观察了两次这个问题。我只需重新启动终端，执行相同的命令，它就能工作了。

具有绝对路径的命令：

*aws iam upload-server-certificate --server-certificate-name mycertificate --certificate-body file:///Users/raushan/Downloads/com/certificate.pem --private-key file:///Users/raushan/Downloads/com/private_key.pem --certificate-chain file:///Users/raushan/Downloads/com/CertChain.pem*