sslcertificatekeyfile installing instalar enable certificado apache ssl https openssl

apache - installing - ssl wamp



Problema de instalación de SSL: "desajuste del valor de clave"(¿pero coinciden?) (9)

Al volver a emitir mi certificado Rapid SSL (comprado a través de Namecheap) para tratar con el error Heartbeat, el nuevo certificado siempre se expidió contra la clave privada utilizada para la solicitud anterior de CSR. Después de aproximadamente la quinta reedición, emparejar eso con la clave privada utilizada en el cuarto intento de reedición hizo que todo funcionara bien.

Así que me enviaron un nuevo certificado público para instalar en un servidor (archivo .crt). Hecho. Reinicie apache - "FAILED".

Mensaje de error:

[Tue Jan 11 12:51:37 2011] [error] Unable to configure RSA server private key [Tue Jan 11 12:51:37 2011] [error] SSL Library Error: 185073780 error:0B080074: x509 certificate routines:X509_check_private_key:key values mismatch

Revisé los valores clave:

openssl rsa -noout -modulus -in server.key | openssl md5 openssl x509 -noout -modulus -in server.crt | openssl md5

y HACEN coincidir.

Revisé las rutas en mi archivo ssl.conf, y ESTÁN señalando los archivos correctos.

Si restablezco el archivo cert anterior (caducado), apache se inicia correctamente, por lo que definitivamente no le gusta algo sobre el nuevo.

Es un GeoTrust QuickSSL, y viene con un "intermediate.crt" que se supone que debo usar en lugar del archivo "ca-bundle.crt" que estaba usando antes

SSLCertificateFile /etc/pki/tls/certs/www.domain.com.crt SSLCertificateKeyFile /etc/pki/tls/private/www.domain.com.key SSLCACertificateFile /etc/pki/tls/certs/intermediate.crt

¿Alguna idea de lo que podría estar haciendo mal? ¿Más información que necesitas?

¡Gracias!


De acuerdo con las preguntas frecuentes en el sitio web de Apache, el módulo y el exponente público para el certificado y la clave deben coincidir para que sea un control válido.

http://httpd.apache.org/docs/2.0/ssl/ssl_faq.html#verify

Como usted y otros ya han declarado, trabaje con el emisor del certificado


Dynadot parece tener los mismos problemas con los certificados RapidSSL que están reeditando. Acabo de recibir un certificado que no funciona, que luego desencadenó otro problema con Apache, cuando se solucionó, encontré esta pregunta y respuesta aquí para el problema original, gracias por la información de todos. Eliminaré el RapidSSL Cert ya que tengo algunos problemas de compatibilidad con el cliente de todos modos y la compra de uno nuevo de AlphaSSL.


El SSLCACertificateFile en mi caso es configurar el SSLCACertificateFile . Una vez que la empresa certificado emitió nuestro certificado, junto con él recibimos dos certificados adicionales: un certificado intermedio y uno raíz. ¿Cuál usar para SSLCACertificateFile ? Ambos..

Así es como se ve mi cadena de certificados:

Y para el SSLCACertificateFile tengo que concatenar digicert_sha2_high_assurance_server_ca.crt y digicert.crt en un archivo en el orden mencionado.


En mi caso, tenía dos sitios y dos claves privadas discretamente diferentes:

nginx: [emerg] SSL_CTX_use_PrivateKey_file("/some/path/server.key") failed (SSL: error:0B080074:x509 certificate routines:X509_check_private_key:key values mismatch)

Después de que lo arreglé, el mensaje de error cambió para mencionar /some/path/server.pem . Tenga en cuenta la diferente clave privada, que solo difería en la extensión de archivo. Tenía 2 sitios diferentes cifrados con claves diferentes (lo que significa que había arreglado el primer sitio pero ahora necesitaba arreglar el segundo). ¡Así que asegúrese de leer el mensaje de error con cuidado!


Para cualquier otra persona que esté luchando con esto ...

Hace poco tuve el mismo problema en uno de mis servidores CentOS 6.5 y todo se redujo a cuando generé KEY y CSR.

Tengo tres sitios que se ejecutan en este servidor en hosts virtuales, todos con IP dedicadas y cada sitio tiene su propio certificado SSL.

A toda prisa cuando cambié uno de los certificados, simplemente seguí estúpidamente la guía de proveedores de certificados para obtener el CSR e instalarlo en Apache, y me dieron instrucciones para usar el siguiente comando:

openssl req -new -newkey rsa:2048 -nodes -keyout domain-name-here.key -out domain-name-here.csr

Después de instalar el nuevo certificado, también me encontraba con que Apache no comenzaba y los mismos errores en /var/log/httpd/ssl_error_log :

[error] SSL Library Error: 185073780 error:0B080074:x509 certificate routines:X509_check_private_key:key values mismatch [error] Unable to configure RSA server private key

Ahora lo que realmente debería haber hecho es verificar mis archivos .bash_history , ya que he hecho esto con éxito en CentOS muchas veces antes.

Debería haber ejecutado estos dos comandos en su lugar:

openssl genrsa -des3 -out domain-name-here.co.uk.key 2048 openssl req -new -key domain-name-here.co.uk.key -out domain-name-here.co.uk.csr

Esto luego generó con éxito la CSR y la CLAVE, volví a aplicar para el certificado utilizando la nueva CSR obtenida, luego apliqué el nuevo certificado y agregué el nuevo archivo de clave y, finalmente, Apache comenzaría limpiamente.

También solo para observar después de una pequeña configuración, ahora tenemos un puntaje A + en una prueba de laboratorio ssl.


También me encontré con el mismo error. En mi caso, tuve que suministrar certificados de CA adicionales en la cadena de verificación. Y en lugar de proporcionar el certificado y la clave en archivos separados, los combiné en un archivo .pem.

Sin embargo, cuando haces esto, el orden de la clave y el certificado más los intermedios es importante. El orden correcto:

your private key your certificate (intermediate) CA certificate lowest in the hierarchy other CA certificates higher in the hierarchy... (intermediate) CA certificate highest in the hierarchy


También tuvimos el problema con NameCheap, el Certificado emitido coincidía con el CSR que se utilizó para generar el CERT anterior. Les avisamos a través de su página de soporte, y dijeron que ya sabían sobre el problema.


asegúrese de que todos los archivos cert estén codificados usando ANSI , no UTF-8 .

Para mí, todas las pruebas indicaron que key, crt y csr sí coinciden, pero los registros decían X509_check_private_key:key values mismatch hasta que vi que uno de los archivos estaba codificado en UTF-8 .