Как настроить https в апаче имея свой сертификат для домена?

Question

[resident]

Купил SSL сертификат для домена и не получается настроить https в апаче. Выдает ошибку:

[Wed Jan 23 01:56:42 2013] [error] Init: Private key not found
[Wed Jan 23 01:56:42 2013] [error] SSL Library Error: 218529960 error:0D0680A8:asn1 encoding routines:ASN1_CHECK_TLEN:wrong tag
[Wed Jan 23 01:56:42 2013] [error] SSL Library Error: 218640442 error:0D08303A:asn1 encoding routines:ASN1_TEMPLATE_NOEXP_D2I:nested asn1 error
[Wed Jan 23 01:56:42 2013] [error] SSL Library Error: 218529960 error:0D0680A8:asn1 encoding routines:ASN1_CHECK_TLEN:wrong tag
[Wed Jan 23 01:56:42 2013] [error] SSL Library Error: 218595386 error:0D07803A:asn1 encoding routines:ASN1_ITEM_EX_D2I:nested asn1 error
[Wed Jan 23 01:56:42 2013] [error] SSL Library Error: 67710980 error:04093004:rsa routines:OLD_RSA_PRIV_DECODE:RSA lib
[Wed Jan 23 01:56:42 2013] [error] SSL Library Error: 218529960 error:0D0680A8:asn1 encoding routines:ASN1_CHECK_TLEN:wrong tag
[Wed Jan 23 01:56:42 2013] [error] SSL Library Error: 218595386 error:0D07803A:asn1 encoding routines:ASN1_ITEM_EX_D2I:nested asn1 error

Есть 4 файла с сертификатами:

AddTrustExternalCARoot.crt
key.txt
domaine_com.crt
PositiveSSLCA2.crt

Все они текстовые файлы в формате:

-----BEGIN CERTIFICATE-----
…
-----END CERTIFICATE-----

Как только не пробовал уже настраивать, всегда выдает одну и ту же ошибку. Ума не приложу, как его настраивать, помогите пожалуйста.

Answer 1

[nochkin]

Было бы полезно указать как в конфигах они прописаны, что бы можно было посмотреть что не так.

Comments

[resident]

SSLCertificateFile /etc/pki/tls/certs/domaine_com.crt
SSLCertificateKeyFile /etc/pki/tls/private/key.txt

[Diam0n]

местами файлы поменяйте, т.е.:
SSLCertificateFile /etc/pki/tls/private/key.txt
SSLCertificateKeyFile /etc/pki/tls/certs/domaine_com.crt

[resident]

пробовал. та же ошибка апача.

[nochkin]

Не надо ничего менять местами, это ни на что не влияет.
Возможно, формат файлов неправильный.

Ключ имеет такой формат:
-----BEGIN PRIVATE KEY-----
-----END PRIVATE KEY-----

Сертификат имеет такой формат:
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----

Это так или что-то по-другому?

[resident]

файл ключа имеет такой же формат

-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----

[nochkin]

Либо ключ потерялся, либо был неправильно сгенерирован.

Обычно генерируется так:
openssl genrsa -des3 -out mykey.key 2048

Проверить можно так:
openssl rsa -noout -modulus -in mykey.key
Что выдает проверка?

[resident]

unable to load Private Key
3086067436:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:698:Expecting: ANY PRIVATE KEY

походу действительно проблема с приватным ключом. спасибо, что помогли выявить причину проблемы.

Answer 2

[merlin-vrn]

Написано: private key not found

Это key.txt? Апач имеет право к чему обращаться на чтение? Сам ключ в правильном формате (PEM)?

Ещё полезно руками посмотреть на каждый сертификат командой openssl x509 -in domaine_com.crt -noout -text

Comments

[resident]

Судя по всему приватный ключ это key.txt. Он не в формате PEM, как его к нему привести?

[resident]

Апач имеет право на чтение этих файлов.

[merlin-vrn]

PEM-файл выглядит как что-то в кодировке Base64:

-----BEGIN RSA PRIVATE KEY-----
MII...
...
-----END RSA PRIVATE KEY-----

DER-файл выглядит как просто двоичный файл.

Конверсия DER в PEM:
openssl rsa -outform pem -inform der -out key.pem -in key.txt

В конфиге, судя по всему, прописаны они у вас правильно.

[resident]

это не двоичные файлы. все 4 файла имеют следующий формат

-----BEGIN CERTIFICATE-----
base64 code
-----END CERTIFICATE-----

приведенная команда выдает ошибку

openssl rsa -outform pem -inform der -out key.pem -in key.txt unable to load Private Key 3085969132:error:0D0680A8:asn1 encoding routines:ASN1_CHECK_TLEN:wrong tag:tasn_dec.c:1320: 3085969132:error:0D08303A:asn1 encoding routines:ASN1_TEMPLATE_NOEXP_D2I:nested asn1 error:tasn_dec.c:660: 3085969132:error:0D0680A8:asn1 encoding routines:ASN1_CHECK_TLEN:wrong tag:tasn_dec.c:1320: 3085969132:error:0D07803A:asn1 encoding routines:ASN1_ITEM_EX_D2I:nested asn1 error:tasn_dec.c:382:Type=RSA 3085969132:error:04093004:rsa routines:OLD_RSA_PRIV_DECODE:RSA lib:rsa_ameth.c:115: 3085969132:error:0D0680A8:asn1 encoding routines:ASN1_CHECK_TLEN:wrong tag:tasn_dec.c:1320: 3085969132:error:0D07803A:asn1 encoding routines:ASN1_ITEM_EX_D2I:nested asn1 error:tasn_dec.c:382:Type=PKCS8_PRIV_KEY_INFO

Answer 3

[merlin-vrn]

Это всё сертификаты в формате PEM.
То, что между BEGIN CERTIFICATE и END CERTIFICATE в принципе не является секретной информацией — там открытый ключ, информация о нём и подписи удостоверяющего центра, подтверждающие этот открытый ключ и дополнительную информацию. Эту информацию можно проанализировать командой openssl x509 -in domaine_com.crt -noout -text

Система такая, что в одном файле можно собрать несколько объектов, тогда они будут идти один за другим, по очереди: один закончился, END CERTIFICATE, потом сразу начинается следующий BEGIN что-нибудь. Можно и сертификат соединить с приватным ключом.

Ни в одном файле нет строки типа -----BEGIN RSA PRIVATE KEY-----, возможно, не в начале файла? Тогда и приватного ключа нет. Без него, очевидно, бессмысленно что-то пытаться делать.

Если найдёте, берите всё что, что от ----BEGIN… PRIVATE KEY---- (включая эту строку) и заканчивая ----END… PRIVATE KEY---- (включая). копируйте в отдельный файл. Этот файл и нужно указать апачу в директиве SSLCertificateKeyFile