SSL 安装问题 - “键值不匹配”（但它们匹配？）

Question

因此，我收到了一个新的公共证书以安装在服务器上（.crt 文件）。完毕。重新启动 apache - “失败”。

错误信息：

[Tue Jan 11 12:51:37 2011] [error] Unable to configure RSA server private key 
[Tue Jan 11 12:51:37 2011] [error] SSL Library Error: 185073780 error:0B080074:
x509 certificate routines:X509_check_private_key:key values mismatch

我已经检查了关键值：

openssl rsa -noout -modulus -in server.key | openssl md5
openssl x509 -noout -modulus -in server.crt | openssl md5

它们确实匹配。

我检查了 ssl.conf 文件中的路径，它们指向正确的文件。

如果我恢复旧的（过期的）证书文件，apache 可以正常启动，所以它肯定不喜欢新的。

这是一个 GeoTrust QuickSSL，它带有一个“intermediate.crt”，我应该用它来代替我之前使用的“ca-bundle.crt”文件

SSLCertificateFile /etc/pki/tls/certs/www.domain.com.crt
SSLCertificateKeyFile /etc/pki/tls/private/www.domain.com.key
SSLCACertificateFile /etc/pki/tls/certs/intermediate.crt

任何想法我可能做错了什么？您需要更多信息吗？

谢谢！

Answer 1

我也遇到了同样的错误。就我而言，我必须在验证链中提供额外的 CA 证书。我没有在单独的文件中提供证书和密钥，而是将它们组合在一个 .pem 文件中。

但是，当您这样做时，密钥和证书加上中间证书的顺序很重要。正确顺序：

your private key
your certificate
(intermediate) CA certificate lowest in the hierarchy
other CA certificates higher in the hierarchy...
(intermediate) CA certificate highest in the hierarchy

Answer 2

我最近在我的一台 CentOS 6.5 服务器上遇到了同样的问题，这要追溯到我生成 KEY 和 CSR 的时候。

我在这台服务器上运行了三个站点，它们的虚拟主机都具有专用 IP，每个站点都有自己的 SSL 证书。

匆忙中，在更改其中一个证书时，我愚蠢地按照证书提供者的指南获取 CSR 并将其安装在 Apache 中，并被指示使用以下命令：

openssl req -new -newkey rsa:2048 -nodes -keyout domain-name-here.key -out domain-name-here.csr

安装新证书后，我还面临 Apache 无法启动以及 /var/log/httpd/ssl_error_log 中的相同错误：

[error] SSL Library Error: 185073780 error:0B080074:x509 certificate routines:X509_check_private_key:key values mismatch

[error] Unable to configure RSA server private key

现在我真正应该做的是检查我的.bash_history 文件，因为我之前在 CentOS 中成功地做过很多次。

我应该改为运行这两个命令：

openssl genrsa -des3 -out domain-name-here.co.uk.key 2048

openssl req -new -key domain-name-here.co.uk.key -out domain-name-here.co.uk.csr

这样就成功生成了CSR和KEY，我用新获得的CSR重新申请了证书，然后申请了新证书并添加了新的密钥文件，最后Apache就可以干净启动了。

另外，请注意，经过一些配置后，我们现在在 SSL 实验室测试中得分为 A+。

Answer 3

在重新颁发我的 Rapid SSL 证书（通过 Namecheap 购买）以处理 Heartbeat 错误时，新证书始终是针对用于先前 CSR 请求的私钥颁发的。大约在第五次重发后，将其与第四次重发尝试中使用的私钥配对，一切正常。

Answer 4

确保所有证书文件都使用ANSI 编码，而不是UTF-8。

对我来说，所有测试都说：key、c​​rt 和 csr 确实匹配，但日志说 X509_check_private_key:key values mismatch，直到我看到其中一个文件被编码为 UTF-8。

Answer 5

就我而言，我有两个站点和两个微妙不同的私钥：

nginx: [emerg] SSL_CTX_use_PrivateKey_file("/some/path/server.key") failed (SSL: error:0B080074:x509 certificate routines:X509_check_private_key:key values mismatch)

在我修复它之后，错误消息更改为提及/some/path/server.pem。请注意不同的私钥，仅在文件扩展名上有所不同。我有 2 个使用不同密钥加密的不同站点（这意味着我已经修复了第一个站点，但现在需要修复第二个站点）。所以一定要仔细阅读错误信息！

Answer 6

我们也遇到了 NameCheap 的问题，颁发的 Cert 与用于生成先前 CERT 的 CSR 匹配。我们通过他们的支持页面让他们知道，他们说他们已经知道这个问题。

Answer 7

根据 Apache 网站上的常见问题解答，证书和密钥的模数和公共指数必须匹配，这样才是有效的检查。

http://httpd.apache.org/docs/2.0/ssl/ssl_faq.html#verify

正如您和其他人已经说过的，与证书颁发者合作

Answer 8

就我而言，最棘手的一点是设置SSLCACertificateFile。一旦证书公司颁发了我们的证书，我们还收到了两个额外的证书：一个中间证书和一个根证书。 SSLCACertificateFile 使用哪一个？两者都..

这是我的证书链的样子：

对于SSLCACertificateFile，我必须按照上述顺序将digicert_sha2_high_assurance_server_ca.crt 和digicert.crt 连接到一个文件中。

Answer 9

Dynadot 似乎对他们重新颁发的 RapidSSL 证书有同样的问题。我刚刚收到一个无效的证书，然后触发了 Apache 的另一个问题，当这个问题得到解决时，我在这里找到了这个问题并回答了原始问题，感谢大家提供的信息。我将废弃 RapidSSL 证书，因为无论如何我都有一些客户端兼容性问题，而是从 AlphaSSL 购买一个新证书。