it-swarm.com.ru

Проблема установки SSL - "несоответствие значения ключа" (но они совпадают?)

Поэтому мне был отправлен новый публичный сертификат для установки на сервер (файл .crt). Готово. Перезапустите Apache - «FAILED».

Сообщение об ошибке:

[Tue Jan 11 12:51:37 2011] [error] Unable to configure RSA server private key 
[Tue Jan 11 12:51:37 2011] [error] SSL Library Error: 185073780 error:0B080074:
x509 certificate routines:X509_check_private_key:key values mismatch

Я проверил ключевые значения:

openssl rsa -noout -modulus -in server.key | openssl md5
openssl x509 -noout -modulus -in server.crt | openssl md5

и они совпадают.

Я проверил пути в моем файле ssl.conf, и они указывают на правильные файлы.

Если я восстановлю старый (просроченный) файл сертификата, Apache запустится нормально, поэтому ему определенно не понравится что-то новое.

Это GeoTrust QuickSSL, и он поставляется с «Middle.crt», который я должен использовать вместо файла «ca-bundle.crt», который я использовал ранее

SSLCertificateFile /etc/pki/tls/certs/www.domain.com.crt
SSLCertificateKeyFile /etc/pki/tls/private/www.domain.com.key
SSLCACertificateFile /etc/pki/tls/certs/intermediate.crt

Есть идеи, что я могу делать не так? Вам нужна дополнительная информация?

Спасибо!

43
Codemonkey

Я тоже сталкивался с такой же ошибкой. В моем случае я должен был предоставить дополнительные сертификаты CA в цепочке проверки. И вместо того, чтобы предоставлять сертификат и ключ в отдельных файлах, я объединил их в файл .pem.

Однако, когда вы делаете это, важен порядок ключа и сертификата плюс промежуточный (ые). Правильный порядок:

your private key
your certificate
(intermediate) CA certificate lowest in the hierarchy
other CA certificates higher in the hierarchy...
(intermediate) CA certificate highest in the hierarchy
78
hvtilborg

При повторном выдаче моего сертификата Rapid SSL (приобретенного через Namecheap) для устранения ошибки Heartbeat новый сертификат всегда выдавался для закрытого ключа, использованного для предыдущего запроса CSR. Примерно после пятого переиздания соединение с закрытым ключом, использованным в четвертой попытке переиздания, заставило все работать нормально.

8
Shaun Dychko

Для всех, кто борется с этим ... 

У меня недавно была такая же проблема на одном из моих серверов CentOS 6.5, и это было до того момента, когда я сгенерировал KEY и CSR. 

У меня есть три сайта, работающих на этом сервере в виртуальных хостах, все с выделенными IP-адресами, и каждый сайт имеет свой собственный сертификат SSL. 

В спешке при смене одного из сертификатов я просто тупо следовал руководству провайдера сертификатов, чтобы получить CSR и установить его в Apache, и мне поручили использовать следующую команду:

openssl req -new -newkey rsa:2048 -nodes -keyout domain-name-here.key -out domain-name-here.csr

После установки нового сертификата я также столкнулся с тем, что Apache не запускается и те же ошибки в /var/log/httpd/ssl_error_log:

[error] SSL Library Error: 185073780 error:0B080074:x509 certificate routines:X509_check_private_key:key values mismatch

[error] Unable to configure RSA server private key

Теперь я действительно должен был проверить мои файлы .bash_history, поскольку я успешно делал это в CentOS много раз раньше.

Я должен был выполнить эти две команды вместо:

openssl genrsa -des3 -out domain-name-here.co.uk.key 2048

openssl req -new -key domain-name-here.co.uk.key -out domain-name-here.co.uk.csr

Затем это успешно сгенерировало CSR и KEY, я повторно подал заявку на сертификат, используя только что полученный CSR, затем применил новый сертификат и добавил новый файл ключа, и, наконец, Apache запустился бы чисто. 

Также просто отметим, что после небольшой настройки мы теперь набрали A + в тесте ssl labs.

8
Tony Gillett

убедитесь, что все файлы сертификатов закодированы с использованием ANSI, а не UTF-8.

Для меня все тесты говорили: key, crt и csr совпадают, но в журналах было X509_check_private_key:key values mismatch, пока я не увидел, что один из файлов был закодирован в UTF-8.

2
user213360

В моем случае у меня было два сайта и два скрытых ключа:

nginx: [emerg] SSL_CTX_use_PrivateKey_file("/some/path/server.key") failed (SSL: error:0B080074:x509 certificate routines:X509_check_private_key:key values mismatch)

После того, как я это исправил, сообщение об ошибке изменилось на /some/path/server.pem. Обратите внимание на другой закрытый ключ, который отличается только расширением файла. У меня было 2 разных сайта, зашифрованных разными ключами (то есть я исправил первый сайт, но теперь мне нужно было исправить второй сайт). Поэтому обязательно внимательно прочитайте сообщение об ошибке!

1
Tyler Collier

Dynadot, похоже, имеет те же проблемы с сертификатами RapidSSL, которые они переиздают. Я только что получил нерабочий сертификат, который затем вызвал еще одну проблему с Apache, когда она была исправлена, я нашел этот вопрос и ответил здесь для первоначальной проблемы, спасибо за информацию всем. Я откажусь от сертификата RapidSSL, так как у меня все равно будут проблемы с совместимостью с клиентом, и вместо этого куплю новый у AlphaSSL.

0
Colin

Согласно FAQ на веб-сайте Apache, модуль и открытый показатель для сертификата и ключа должны совпадать, чтобы это была действительная проверка.

http://httpd.Apache.org/docs/2.0/ssl/ssl_faq.html#verify

Как вы и другие уже заявили, работайте с эмитентом сертификата

0
brico

Самым сложным в моем случае является настройка SSLCACertificateFile. После того, как компания-сертификат выдала наш сертификат, мы получили два дополнительных сертификата: промежуточный и корневой сертификат. Какой из них использовать для SSLCACertificateFile? И то и другое..

Вот как выглядит моя цепочка сертификатов: 

enter image description here

И для SSLCACertificateFile я должен объединить digicert_sha2_high_assurance_server_ca.crt и digicert.crt в один файл в указанном порядке.

0
gerrytan

У нас также была проблема с NameCheap, выпущенный сертификат соответствовал CSR, который использовался для создания предыдущего CERT. Мы сообщили им об этом на странице поддержки, и они сказали, что уже знают об этой проблеме.

0
user3521282