在AWS上安装SSL证书

Question

我从Go爸爸那里买了一个SSL证书，我在一个在AWS上运行nginx的linux实例上托管我的网站。

我正试图将SSL证书安装到我在AWS上的一个实例上。

这就是我对这个过程的理解。

为了获得SSL证书，我必须创建一个CSR，当使CSR成为私钥时也会创建一个CSR。我提交我的CSR到我的CA (去爸爸)，他们使用创建我的证书和我的证书链。然后，我将证书、证书链和私钥放入我的服务器，就这样。

有两种方法可以直接在服务器上或通过AWS实现。我想在AWS上做这件事。

https://sg.godaddy.com/help/manually-install-an-ssl-certificate-on-my-aws-server-32075

本教程假设我已经有了CSR和私钥，但我没有。

所以我试了下面的方法来获得一个CSR

https://docs.aws.amazon.com/acm-pca/latest/userguide/PcaGetCsr.html

https://docs.aws.amazon.com/acm-pca/latest/userguide/PcaCreateCa.html

1. 转到Amazon证书管理器
2. 创建一个从属CA (我不知道为什么) 2.1。把你的细节，而不是爸爸的细节。2.2。接受以下所有页面的默认设置并创建
3. 安装从属CA证书3.1选择外部私有CA 3.2此页面为此CA提供CSR，将CSR复制并粘贴到Go爸爸中，将证书从Go爸爸输入到我的服务器3.3下载新输入的SSL证书，将捆绑文件放入证书链字段，将其他文件放入证书正文字段

现在我得到了

MalformedCertificateException:基本约束扩展必须指定证书用于CA。“

我显然做错了什么。这条错误信息似乎是我误解了这个amazon特性的目的。

我只有一个CSR我没有私钥。

当遵循本指南时

https://sg.godaddy.com/help/manually-install-an-ssl-certificate-on-my-aws-server-32075

我进入第8步，我没有私钥文件。

在做了一些研究之后我发现了这些

https://superuser.com/a/1428640

https://serverfault.com/a/919007/596551

这意味着我永远不会从这个方法得到私钥，这使我回到了零，没有CSR，也没有私钥，因此不能生成证书。但是，根据第一个链接，我使用的是亚马逊负载均衡器

我的问题是。

1. 我对SSL证书申请过程的理解正确吗？
2. 从零开始将SSL证书应用于AWS的正确方法是什么？

什么时候

Answer 1

我还没有读过您的aws链接，但是我已经多次在AWS、EC2 VM、apache上应用了证书。如果这听起来不简单的话，你不需要遵循aws指南。你可以用老式的方法来做。我就是这么做的。您可以在Linux服务器和私钥中使用openssl命令创建CSR，然后从go爸爸那里获得该CSR的签名SSL。稍后，您可以在ACM中导入证书和私钥。之后，您可以使用它来应用于ELB，或者在web服务器中直接应用此证书和密钥。很简单不是吗。互联网上有很多关于如何使用openssl和私钥生成CSR的教程，您可以通过您最喜欢的web搜索引擎如google获得这些教程。因此，我不打算重申这些步骤。我让你去看看你是否已经知道了。