问如何在Chrome / Firefox中修复ACM / ELB上的NET::ERR_CERTIFICATE_TRANSPARENCY_REQUIRED

EN

，这是来自AWS容器小组的Vivek。我会在这个案子上帮你。

从案例描述中，我了解到您请求了一个ACM证书并创建了ELB(服务负载均衡器)，在EKS集群示例中运行nginx荚-EKS-集群-dev。

当从浏览器访问站点https://test-aws.example.co/时，您将收到以下错误：

错误: NET::ERR_CERTIFICATE_TRANSPARENCY_REQUIRED

您希望使用第三方CA (例如让加密)为您的域颁发免费SSL证书。您不希望将域移动到Route53。

您希望知道如何这样做并实现https。

如果我的理解是正确的，请告诉我。

对于错误ERR_CERTIFICATE_TRANSPARENCY_REQUIRED，此错误由Chrome在找不到CT(证书透明度)日志时抛出。

要使Google信任证书，所有已颁发或导入的证书都必须嵌入SCT信息。

默认情况下，ACM记录所有新的和更新的证书。但是，它提供了从API或CLI中选择退出的选项。

您可以在链接1中找到更多关于这一点的信息。

我检查了映射到域“test-aws.example.co”的负载平衡器。它被映射到使用ACM证书abce6962e05794f36a23435db3f1837d-1755308045.eu-west-2.elb.amazonaws.com的ELB arn:aws:acm:eu-west-2:150737547637:certificate/f932b11d-af17-4023-be41-045c6fcc5e86。

我检查了这个证书，发现选项“CertificateTransparencyLoggingPreference”是禁用的。

通过运行以下命令，您可以启用证书上的透明度来解决该问题：

acm更新-证书-选项-证书-arn-选项CertificateTransparencyLoggingPreference=ENABLED

使用启用的CertificateTransparencyLoggingPreference更新证书后，问题将得到解决，即您在通过https访问站点时不应该再接收错误NET::ERR_CERTIFICATE_TRANSPARENCY_REQUIRED。

关于您的另一个查询，即如何使用第三方证书(如LetsEncrypt和ELB用于https )，您可以获得所需的证书(从期望的CA中获得证书)，并将其导入到ACM或IAM中。在ACM/IAM中导入第三方证书后，它可以与ELB的https侦听器相关联，类似于您如何关联由ACM颁发的证书(通过使用服务定义中的注释service.beta.kubernetes.io/aws-load-balancer-ssl-cert和值作为导入证书的ARN )。

请在链接2中找到导入证书的步骤。在IAM中导入证书的步骤可以在3.上找到。