ssl - 将 SSL 证书上传到 AWS 弹性负载均衡器

Question

我的 AWS Elastic Load Balancer 上的 SSL 证书即将过期，我需要用新证书替换它。

我有新的证书/ bundle / key ，已上传到 IAM，但它不会显示在负载均衡器设置的下拉列表中，该下拉列表应该让我选择要应用的证书。

这是我输入时的输出 aws iam 列表服务器证书

在我看来，这表明我已将新证书上传到 IAM ok。列表中最上面的证书是即将到期的证书，另外两个是我最近上传的，打算替换它(它们实际上是两次尝试使用相同的 pem 文件上传)。

下图显示只有一个证书可供选择应用于负载均衡器。不幸的是，它即将过期。

让我觉得有点奇怪的一件事是下拉列表中的证书名称 - ptdsslcert - 与 aws iam list-server-certificates 输出中的名称不同，即使它是同一个过期证书迫在眉睫。

我真的被困在这里，如果我不尽快解决这个问题，我的域上的证书就会过期，因此我将非常感谢对此提供的任何帮助。

Answer 1

The AWS CLI uses a provider chain to look for AWS credentials in a number of different places, including system or user environment variables and local AWS configuration files.

http://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html

虽然很难猜测导致观察到的行为的特定本地机器配置问题，但正如评论中所指出的，这似乎是 aws cli 使用两组不同凭证的问题访问两种不同的服务，而这两组凭证实际上来自两个不同的 AWS 账户。

API(通过 CLI 访问)返回的 ServerCertificateName 应该与 Elastic Load Balancer 证书选择的控制台下拉列表中显示的证书名称相匹配。

ARN(亚马逊资源名称)的组成因服务而异，但通常包括 AWS 帐号。在这种情况下，CLI 输出中显示的帐号与 AWS 控制台中可见的帐号不匹配...得出的结论是问题是 aws 正在访问一个 AWS 帐户而不是预期的帐户cli.

通过不同的显示名称进行交叉确认，一年前上传的“现有”证书可能具有相同的内容，但实际上是与下拉列表中看到的不同的 IAM 实体，因为这两个证书与完全不同的帐户相关联。