Если вы будете следовать этому сценарию AWS в соответствии с документацией, вы обнаружите, чтоrustCertificates.pem и certificateChain.pem - это один и тот же файл (посредством копии файла).
openssl req -x509 -newkey rsa:2048 -keyout privateKey.pem -out certificateChain.pem -days 365 -nodes -subj '/C=US/S=Washington/L=Seattle/O=MyOrg/OU=MyDept/CN=*.ec2.internal'
cp certificateChain.pem trustedCertificates.pem
zip -r -X certs.zip privateKey.pem certificateChain.pem trustedCertificates.pem
EMR Создать скрипт сертификата
Вы все усложняете, создавая корневой сертификат, который не нужен. Следуйте документации AWS по настройке TLS на EMR:
Безопасная Amazon EMR с шифрованием
ZIP-файл, который вы загружаете на S3, содержит три файла: privateKey.pem, certificateChain.pem иrustCertificates.pem. Два из них - это один и тот же файл с разными именами.
[РЕДАКТИРОВАТЬ после очень длинной ветки комментариев к сертификатам]
Когда вы создаете самоподписанный корневой сертификат, все сертификаты, которые он подписывает, также являются самоподписанными. Сертификат проверяется путем проверки каждого сертификата в цепочке до корня. Если корневой сертификат ненадежен, то все сертификаты ненадежны.
AWS предлагает услугу управления сертификатами, где вы можете быть вашим собственным центром сертификации. Однако это очень дорого. Если вы крупная компания, банк или финансовое учреждение и т. Д., То эта услуга AWS очень полезна.
Для Amazon EMR можно использовать один самозаверяющий сертификат. Причина заключается в том, что вы полностью контролируете системы, использующие сертификат. Вы не захотите использовать самозаверяющий сертификат, если какая-либо часть системы предоставляет публичный доступ.
Один элемент, который запутал OP, - это разница между доверенным сертификатом и цепочкой сертификатов. В его примере, поскольку они являются только корневым сертификатом, а не промежуточными сертификатами, доверенный и цепочка являются одним и тем же элементом. Только если он создал еще один сертификат подписи, который использовался для подписания последнего сертификата, цепочка сертификатов будет отличаться (будет корневой сертификат и сертификат подписи).