Как установить сертификат comodo на другой порт, отличный от 443?

Question

[Дмитрий Филюшин]

Подрядчик приобрёл ssl-сертификат у Comodo. У нас крутится свой сайт на собственном недоверенном сертификате на этом же айпишнике, только на другом https-порту. Пытаемся подключить купленный подрядчиком сертификат на наш апач, ругается, что

AH02564: Failed to configure encrypted (?) private key *.*.*.*:443:0, check /etc/ssl/domain.key.

443 это их сайт. Может ли быть выпущен сертификат конкретно под 443 порт и на другой никак?

Answer 1

[CityCat4]

Нет. Сертификат к порту не имеет никакого отношения. Нужно по портам сайты разносить. Но не видя конфигурации что-то сложно сказать.

Comments

[Дмитрий Филюшин]

Спасибо за ответ.
К настройкам сайта подрядчика нет доступа.
наш конфиг тут

NameVirtualHost *:543
<VirtualHost *:543>

   SSLEngine On
#  SSLCertificateFile /etc/ssl/server.crt
  SSLCertificateKeyFile /etc/ssl/server.key
  SSLCertificateFile /etc/ssl/private/???_???_???_???.crt
  SSLCertificateChainFile /etc/ssl/private/???_???_???_???.ca-bundle

Alias /static /var/www/project/static
<Directory /var/www/project/static>
    Require all granted
</Directory>

<Directory /var/www/project/ProjectOnline>
    <Files wsgi.py>
Require all granted
   </Files>
</Directory>
ServerAdmin webmaster@localhost
<------>ErrorLog ${APACHE_LOG_DIR}/error.log
<------>CustomLog ${APACHE_LOG_DIR}/access.log combined

WSGIDaemonProcess ProjectOnline python-path=/var/www/project:/var/www/project/ProjectOnline
WSGIProcessGroup ProjectOnline
WSGIScriptAlias / /var/www/project/ProjectOnline/wsgi.py
</VirtualHost>

<IfModule mod_deflate.c>
  AddOutputFilterByType DEFLATE application/javascript
  AddOutputFilterByType DEFLATE text/javascript
  AddOutputFilterByType DEFLATE text/css
  <IfModule mod_setenvif.c>
    BrowserMatch ^Mozilla/4 gzip-only-text/html
    BrowserMatch ^Mozilla/4\.0[678] no-gzip
    BrowserMatch \bMSIE !no-gzip !gzip-only-text/html
  </IfModule>
</IfModule>

[CityCat4]

SSLCertificateFile и SSLCertificateKeyFile указывают на разные файлы, то есть ключ не соответствует сертификату. При генерации запроса на сертификат для комодо должен был сформироваться ключ - вот его и нужно указать в SSLCertificateKeyFile

[Дмитрий Филюшин]

CityCat4: начинаю немного понимать, объясните подробнее. Мне подрядчик передал вот этот сертификат ???_???_???_???.crt с айпишником плюс ещё несколько файлов с именами COMODO, я так понял это группа удост. сертификатов выдающего центра. Что мне надо было подложитьь?
Я создал сам сертификат ключевой вот по этой ссылке ubuntu ssl
А надо было где взять SSLCertificateKeyFile /etc/ssl/server.key ???

[CityCat4]

Значит, если среди переданных подрядчиком файлов нет файла с расширением .key - пусть он его передает, потому что без него сертификат не встанет. Процесс создания сертфииката состоит из:
- Создания Запроса на Сертификат (CSR - Certificate Signing Request), в результате которого создаются _два_ файла - запрос на сертификат и ключ.
- Запрос на сертификат передается в Удостоверяющий Центр (в данном случае - комодо)
- Комодо, проведя нужные проверки, формирует файл сертификата

В итоге должно быть _два_ файла - сертификат и ключ, причем они должны соответствовать друг другу - использовать сертификат с чужим ключом не получится. Эти файлы и указываются в SSLCertificateFile и SSLCertificateKeyFile

[Дмитрий Филюшин]

CityCat4: даже если подрядчик скидывает как он заполнял создание этого запроса?
CN=???.???.???.???
OU=ДЕЯТЕЛЬНОСТЬ
O=НАЗВАНИЕ НАШЕЙ ОРГАНИЗАЦИИ
POBox=
STREET=
STREET=
STREET=
L=ГОРОД
S=n/a
PostalCode=
C=KZ
Email=наш емаил
Phone=
Даже если я сформирую его с такими же настройками сам, он будет отличаться из-за случ. генератора, добавляемого в файл?

[CityCat4]

Да. Каждое создание CSR создает уникальный ключ. Поэтому подрядчик должен отдать _именно тот самый файл_ с расширением .key, который у него получился при создании запроса в комодо. Иначе плакали ваши денежки, потраченные на покупку сертификата.

[Дмитрий Филюшин]

CityCat4: Спасибо за помощь. Подрядчик прислал ключ и всё встало замечательно.