Question

我已经通过DigiCert创建了SSL证书，并导入了ACM。（我要求将相同的SSL应用于ALB和应用程序，并且由于无法导入ACM证书，因此我必须遵循这种方式）

我已经成功导入了SSL，并且可以在控制台中看到它。但是，我无法将其应用于ALB 443侦听器。

我将证书ARN提供给CloudFormation模板，但它失败，说明证书不存在。
我尝试手动更新443侦听器，但未列出证书
由于两者均失败，因此我尝试在ALB侦听器控制台中导入证书，但收到以下错误消息。（但是，证书已导入，我可以在控制台中看到它）

更新侦听器失败。导入的证书的配置为不兼容，不会出现在可用列表中听众的证书。选择或上传其他证书，然后重试。

Answer 1

您是否检查了Application Load Balancer是否支持SSL证书密钥算法？这些是受支持的算法：

来源：https://aws.amazon.com/premiumsupport/knowledge-center/elb-ssl-tls-certificate-https/

您可以使用以下命令检查密钥大小：

$ openssl rsa -in secret.key -text -noout | grep "Private-Key"
Private-Key: (2048 bit)

$ openssl x509 -in certificate.crt -text -noout | grep "Public-Key"
RSA Public-Key: (2048 bit)

如@ aress-support所述，您可以使用IAM导入证书。 https://aws.amazon.com/premiumsupport/knowledge-center/import-ssl-certificate-to-iam/

Answer 2

为您的应用程序负载平衡器更新HTTPS侦听器有一个限制。

ACM supports RSA certificates with a 4096 key length and EC certificates. 
However, you cannot install these certificates on your load balancer through integration with ACM.

解决方案是尝试将这些证书上传到IAM，以便将其与负载均衡器一起使用。

这应该有帮助。

未为ALB侦听器列出导入的SSL证书

2 个答案: