SSL problème d'installation - “valeur de la clé de mismatch” (mais ils ne correspondent?)
J'ai donc reçu un nouveau public cert à installer sur un serveur (.crt fichier). Fait. Redémarrez apache "ÉCHEC".
Message d'erreur:
[Tue Jan 11 12:51:37 2011] [error] Unable to configure RSA server private key
[Tue Jan 11 12:51:37 2011] [error] SSL Library Error: 185073780 error:0B080074:
x509 certificate routines:X509_check_private_key:key values mismatch
J'ai vérifié les valeurs clés:
openssl rsa -noout -modulus -in server.key | openssl md5
openssl x509 -noout -modulus -in server.crt | openssl md5
et de correspondance.
J'ai vérifié les chemins d'accès dans mon ssl.fichier conf, et ils pointent vers les fichiers corrects.
Si je rétablir l'ancien (expiré) cert fichier de démarrage, apache ok, donc il n'a certainement pas comme quelque chose à propos de la nouvelle.
C'est un GeoTrust QuickSSL, et il est venu avec un "intermédiaire.crt" que je suis censé utiliser à la place de la le "ca-bundle.crt" fichier que j'utilisais avant
SSLCertificateFile /etc/pki/tls/certs/www.domain.com.crt
SSLCertificateKeyFile /etc/pki/tls/private/www.domain.com.key
SSLCACertificateFile /etc/pki/tls/certs/intermediate.crt
Les idées de ce que je fais de mal? Plus d'info dont vous avez besoin?
Merci!
Vous devez vous connecter pour publier un commentaire.
J'ai aussi rencontré la même erreur. Dans mon cas, j'ai dû fournir des certificats d'autorité de certification de la chaîne de vérification. Et au lieu de fournir le certificat et la clé dans des fichiers séparés, j'ai combiné dans un .fichier pem.
Toutefois, lorsque vous faites cela, l'ordre de la clé et le certificat plus l'intermédiaire d'un(s) est important. Le bon ordre:
Lors de la réédition de mon Rapide certificat SSL (achetés par l'intermédiaire de Namecheap) pour traiter les battements du cœur de bug, le nouveau certificat a toujours été émis à l'encontre de la clé privée utilisée pour la précédente demande CSR. Après le cinquième réédition, l'association qu'avec la clé privée utilisée dans la quatrième réédition, qui a tenté des choses fonctionnent bien.
Pour quelqu'un qui est aux prises avec ce...
J'ai eu le même problème sur un de mes CentOS 6.5 serveurs récemment et c'était quand j'ai généré la CLÉ et de la RSE.
J'ai trois sites en cours d'exécution sur ce serveur à tous les hôtes virtuels avec ip dédiée et chaque site a son propre Certificat SSL.
Dans une bousculade lors d'un changement de l'un des certificats, j'ai bêtement suivi les fournisseurs de certificats guide pour gagner de la RSE et de l'installer dans Apache, et j'ai été chargé d'utiliser la commande suivante:
Après l'installation du nouveau certificat, j'ai été puis aussi face à Apache ne démarre pas et que les mêmes erreurs dans
/var/log/httpd/ssl_error_log
:Maintenant, ce que je ne devrait vraiment avoir fait était de vérifier mon
.bash_history
fichiers, que j'ai réussi à faire cela dans CentOS de nombreuses fois avant.Je devrais avoir de l'exécution de ces deux commandes à la place :
Ce alors généré avec succès la RSE et de la CLÉ, je l'ai ré-appliqué pour le certificat à l'aide de la nouvellement acquise, la RSE, puis a appliqué le nouveau certificat et ajouté un nouveau fichier de clé et enfin Apache permettrait de démarrer correctement.
Aussi juste pour remarque, après un peu de configuration, nous avons maintenant marquer Un+ dans un ssl labs test.
assurez-vous que tous les cert fichiers sont encodés à l'aide de
ANSI
, pasUTF-8
.Pour moi tous les tests dit: clé, le crt et la rse ne correspondent, mais les journaux dit
X509_check_private_key:key values mismatch
jusqu'à ce que j'ai vu que l'un des fichiers a été codée enUTF-8
.Dans mon cas, j'ai eu deux sites et deux subtley différentes clés privées:
Après j'ai corrigé cela, le message d'erreur a changé de mentionner
/some/path/server.pem
. Remarque les différentes clé privée, qui ne se distinguait dans l'extension de fichier. J'ai eu 2 sites différents chiffrés avec des clés différentes (ce qui signifie que j'avais fixé le premier site, mais maintenant nécessaire pour corriger le deuxième site). Donc, assurez-vous de lire le message d'erreur soigneusement!Nous avons également eu le problème avec NameCheap, émises Cert correspondait à la RSE qui a été utilisé pour générer la précédente CERT. Nous lui faisons savoir par l'intermédiaire de leur page de support, et ils ont dit qu'ils savaient déjà sur la question.
Dynadot semblent avoir les mêmes problèmes avec les certificats RapidSSL ils sont re-délivrance. Je viens de recevoir un non certificat de travail, qui a ensuite déclenché un autre problème avec Apache, quand cela a été résolu, j'ai trouvé cette question et la réponse ici pour le problème original, merci pour l'information de tout le monde. Je doit être la suppression de la RapidSSL Cert car j'ai un client des problèmes de compatibilité avec de toute façon et l'achat d'un nouveau à partir de AlphaSSL à la place.
Selon la FAQ sur le site web d'Apache, le module et le public en exposant pour le cert et la clé doit correspondre à de sorte que c'est une vérification valide.
http://httpd.apache.org/docs/2.0/ssl/ssl_faq.html#verify
Comme vous et d'autres ont déjà dit, le travail avec le cert émetteur
La plus délicate de bits dans mon cas, c'est la configuration de la
SSLCACertificateFile
. Une fois le certificat d'entreprise délivré notre cert, à côté de cela, nous avons reçu deux autres certs: un intermédiaire et un certificat racine. À utiliser pourSSLCACertificateFile
? À la fois..Voici ce que mon certificat de chaîne de ressembler à:
Et pour le
SSLCACertificateFile
je concaténer digicert_sha2_high_assurance_server_ca.crt et digicert.crt en un seul fichier dans la commande.