[Debian]Odpalenie SSL apache2 + OpenSSL

[Mackos 0]

Hej,

Kupiłem sobie certyfikat SSL, wszystko zrobiłem według kilku tutoriali i w sumie na zwyklym kluczu łączy mnie przez https, problem pojawia się w momencie gdy ustawię sobie łańcuch certyfikatów:

 

SSLCertificateChainFile /etc/ssl/domena_pl.ca-bundle

i wstawię go do

sites-available/default-ssl

Komentując

       #SSLCertificateFile    /etc/ssl/certs/ssl-cert-snakeoil.pem
       #SSLCertificateKeyFile /etc/ssl/private/ssl-cert-snakeoil.key

To nie mogę zrestartować apache'a ponieważ pluje błędem:

 

[Thu Sep 06 22:33:06 2012] [error] Server should be SSL-aware but has no certificate configured [Hint: SSLCertificateFile] (/etc/apache2/sites-enabled/default-ssl:2)

I trochę dziwne że certyfikat nieskonfigurowany skoro ów łańcuch robiłem według tego tutka:

https://support.comodo.com/index.php?_m=knowledgebase&_a=viewarticle&kbarticleid=1209

 

Będę wdzięczny za jakiekolwiek naprowadzenie mnie na rozwiązanie problemy

[kafi 2425]

Warto by było poczytać, za co odpowiada dyrektywa SSLCertificateChainFile.

 

This directive sets the optional all-in-one file where you can assemble the certificates of Certification Authorities (CA) which form the certificate chain of the server certificate. This starts with the issuing CA certificate of the server certificate and can range up to the root CA certificate. Such a file is simply the concatenation of the various PEM-encoded CA Certificate files, usually in certificate chain order.

 

Pogrubiono-podkreślony fragment powinien ci zasugerować, że twój tok myślenia jest lekko błędny...

[Mackos 0]

No okej, wiem z czego się składa bo go stworzyłem z 3ech plików.

W takim wypadku jak poprawnie powinienem to teraz przekonfigurować i co tam dodać / usunąć ?

[kafi 2425]

No najwidoczniej nie do końca dalej zrozumiałeś.

 

Ostatni certyfikat w łańcuchu (ten końcowy z docelowym CN który ma być używany do komunikacji SSL) umieszczasz jako SSLCertificateFile, klucz do niego jako SSLCertificateKeyFile. Dyrektywą SSLCertificateChainFile definiujesz bundle zawierające certyfikaty wszystkich urzędów certyfikacji znajdujących się w łańcuszku.

[Mackos 0]

A ok, faktycznie nie do końca to ogarniam w pełni.

Tylko teraz jest jeden problem wpis wygląda tak:

 

       SSLCertificateKeyFile /etc/ssl/private/private.key
       SSLCertificateFile /etc/ssl/domena_pl.crt
       SSLCertificateChainFile /etc/ssl/domena_pl.ca-bundle

Jednak apache wypluwa mi że private key jest niepoprawny, w jaki sposób mogę go ustawić ponownie - poprawnie?

Błąd z apache:

[Fri Sep 07 00:10:00 2012] [error] Unable to configure RSA server private key
[Fri Sep 07 00:10:00 2012] [error] SSL Library Error: 185073780 error:0B080074:x509 certificate routines:X509_check_private_key:key values mismatch

Czy to może być spowodowane tym że przy generowaniu klucza dodałem hasło ?

[kafi 2425]

Tak - klucz prywatny musi być "jawny".

[Mackos 0]

No okej - jeśli to nie była ironia - to w jaki sposób mogę to osiągnąć, aby był ?

[kafi 2425]

openssl rsa -in MYKEY.key >> MYKEY-NOCRYPT.key

[Mackos 0]

No niestety, dalej ten sam błąd w logach przy restarcie:

 

[Fri Sep 07 00:46:49 2012] [error] Unable to configure RSA server private key
[Fri Sep 07 00:46:49 2012] [error] SSL Library Error: 185073780 error:0B080074:x509 certificate routines:X509_check_private_key:key values mismatch

[kafi 2425]

Upewnij się, że plik .key ma w sobie na początku linijkę -----BEGIN RSA PRIVATE KEY----- a następnie klucz.

Jeśli zawiera oprócz tego frazę Proc-Type: 4,ENCRYPTED to znaczy, że niepoprawnie się odkodował.

Potem upewnij się, że dobry certyfikat wybrałeś ( openssl x509 -in domena_pl.crt -text ).

 

Jeśli oba powyższe nie pomogą, to znaczy, że... zgubiłeś klucz prywatny i bez wystawienia nowego certyfikatu się nie obejdzie.

[Mackos 0]

No więc tak, klucz prywatny - ten wygenerowany ma wszystkie linijki jak powinno - żadnej dodatkowej.

Porównałem go również z tym co wyświetli

openssl x509 -in domena_pl.crt -text 

No i wydaje się być taki sam jak odkodowany plik *.key

Dodatkowo zastanawia mnie czy nie błędnym jest fakt nie posiadania przeze mnie pliku .pem ?

[Gigaone 27]

Porównaj sumy kontrolne klucza prywatnego i certyfikatu. Prawdopodobnie próbujesz podłączyć niewłaściwy klucz do wystawionego certyfikatu o czym świadczą logi z apache'a:

 

[Fri Sep 07 00:10:00 2012] [error] Unable to configure RSA server private key
[Fri Sep 07 00:10:00 2012] [error] SSL Library Error: 185073780 error:0B080074:x509 certificate routines:X509_check_private_key:key values mismatch

 

klucz prywatny:

openssl rsa -in private.key -modulus -noout | openssl md5

 

certyfikat:

openssl x509 -in domena_pl.crt -modulus -noout | openssl md5

 

Jeżeli wynik działania obu poleceń nie jest identyczny, oznacza to, że klucz prywatny nie pasuje do certyfikatu SSL. Jeśli nie uda się odnaleźć klucza prywatnego, to będzie należało dokonać wymiany certyfikatu na nowy.