Automata, domain ellenőrzött SSL tanúsítványok

 ( spikes | 2017. január 11., szerda - 17:11 )

Üdv!

Használ vki ilyen tanúsítvány domainhez?
Csináltam egy ilyet netlock-nál, de nem akar működni.

Köszönöm

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Természetesen használunk, tonnaszámra, többek között Netlock-osat is.
Az mit jelent, hogy nem működik? Milyen szerver, milyen kliens?

Netlock-ost, StartSSL-est. Számtalan helyen. Mi nem megy?

--
trey @ gépház

Spikes

CSR file generálásakor jelszót adtam meg az elején. Megkaptam pem filet-t beraktam, majd apache restartnál kéri passt. Megadom de apache nem indul el:( Hibát nem dob akkor sem ha jó akkor sem ha rossz a passm, de apache nem indul el:(

A domain itt a copyzott logban nem valós!

[Wed Jan 11 18:04:43.399485 2017] [ssl:warn] [pid 12902:tid 140041248249728] AH01906: aldomain.domain.hu:443:0 server certificate is a CA certificate (BasicConstraints: $
[Wed Jan 11 18:04:43.408266 2017] [ssl:warn] [pid 12903:tid 140041248249728] AH01906: aldomain.domain.hu:443:0 server certificate is a CA certificate (BasicConstraints: $
[Wed Jan 11 18:05:49.911999 2017] [ssl:emerg] [pid 13086:tid 139644482549632] AH02564: Failed to configure encrypted (?) private key aldomain.domain.hu:443:0, check /etc/....
[Wed Jan 11 18:05:49.912040 2017] [ssl:emerg] [pid 13086:tid 139644482549632] SSL Library Error: error:0B080074:x509 certificate routines:X509_check_private_key:key v$

Az apache-nak 1 darab PEM-ben adtad meg a tanúsítványt ÉS a privát kulcsot, vagy két külön fájlban?

Előbbi esetben ennyi elég:
SSLEngine On
SSLCACertificateFile /etc/ssl/certs/netlock-online.crt
SSLCertificateFile /etc/ssl/private/aldomain.domain.hu.pem

Utóbbi esetben:
SSLEngine On
SSLCACertificateFile /etc/ssl/certs/netlock-online.crt
SSLCertificateFile /etc/ssl/private/aldomain.domain.hu.crt
SSLCertificateKeyFile /etc/ssl/private/aldomain.domain.hu.key

A certificate fájlok tartalmát ellenőrizd, hogy tényleg az van-e benne, mint aminek kellene.

A netlock-online.crt fájlnak 1 darab BEGIN CERTIFICATE/END CERTIFICATE szekciót kell tartalmaznia.

Az első esetben a PEM fájlnak 1 darab BEGIN RSA PRIVATE KEY/END RSA PRIVATE KEY és 1 darab BEGIN CERTIFICATE/END CERTIFICATE szekciót.

Az utóbbi esetben nyilván ez a kettő külön fájlban lakik.

Spikes

Köszi... Pem-be 2 rész van így az első vonatkozik rám..
Lehet blőd a kérdés, de neltock-online.crt file az honnan van?

Íme az eredmény...

Wed Jan 11 20:21:13.067834 2017] [ssl:error] [pid 16623:tid 140569034954624] AH02579: Init: Private key not found
[Wed Jan 11 20:21:13.067850 2017] [ssl:error] [pid 16623:tid 140569034954624] SSL Library Error: error:0D0680A8:asn1 encoding routines:ASN1_CHECK_TLEN:wrong tag
[Wed Jan 11 20:21:13.067857 2017] [ssl:error] [pid 16623:tid 140569034954624] SSL Library Error: error:0D08303A:asn1 encoding routines:ASN1_TEMPLATE_NOEXP_D2I:nested $
[Wed Jan 11 20:21:13.067863 2017] [ssl:error] [pid 16623:tid 140569034954624] SSL Library Error: error:0D0680A8:asn1 encoding routines:ASN1_CHECK_TLEN:wrong tag
[Wed Jan 11 20:21:13.067868 2017] [ssl:error] [pid 16623:tid 140569034954624] SSL Library Error: error:0D07803A:asn1 encoding routines:ASN1_ITEM_EX_D2I:nested asn1 er$
[Wed Jan 11 20:21:13.067873 2017] [ssl:error] [pid 16623:tid 140569034954624] SSL Library Error: error:04093004:rsa routines:OLD_RSA_PRIV_DECODE:RSA lib
[Wed Jan 11 20:21:13.067878 2017] [ssl:error] [pid 16623:tid 140569034954624] SSL Library Error: error:0D0680A8:asn1 encoding routines:ASN1_CHECK_TLEN:wrong tag
[Wed Jan 11 20:21:13.067883 2017] [ssl:error] [pid 16623:tid 140569034954624] SSL Library Error: error:0D07803A:asn1 encoding routines:ASN1_ITEM_EX_D2I:nested asn1 er$
[Wed Jan 11 20:21:13.067891 2017] [ssl:emerg] [pid 16623:tid 140569034954624] AH02564: Failed to configure encrypted (?) private key domainom.hu:443:0, check /etc$
[Wed Jan 11 20:23:52.175347 2017] [ssl:error] [pid 16755:tid 139630886958976] AH02579: Init: Private key not found
[Wed Jan 11 20:23:52.175363 2017] [ssl:error] [pid 16755:tid 139630886958976] SSL Library Error: error:0D0680A8:asn1 encoding routines:ASN1_CHECK_TLEN:wrong tag
[Wed Jan 11 20:23:52.175370 2017] [ssl:error] [pid 16755:tid 139630886958976] SSL Library Error: error:0D08303A:asn1 encoding routines:ASN1_TEMPLATE_NOEXP_D2I:nested $
[Wed Jan 11 20:23:52.175375 2017] [ssl:error] [pid 16755:tid 139630886958976] SSL Library Error: error:0D0680A8:asn1 encoding routines:ASN1_CHECK_TLEN:wrong tag
[Wed Jan 11 20:23:52.175380 2017] [ssl:error] [pid 16755:tid 139630886958976] SSL Library Error: error:0D07803A:asn1 encoding routines:ASN1_ITEM_EX_D2I:nested asn1 er$
[Wed Jan 11 20:23:52.175386 2017] [ssl:error] [pid 16755:tid 139630886958976] SSL Library Error: error:04093004:rsa routines:OLD_RSA_PRIV_DECODE:RSA lib
[Wed Jan 11 20:23:52.175390 2017] [ssl:error] [pid 16755:tid 139630886958976] SSL Library Error: error:0D0680A8:asn1 encoding routines:ASN1_CHECK_TLEN:wrong tag
[Wed Jan 11 20:23:52.175406 2017] [ssl:error] [pid 16755:tid 139630886958976] SSL Library Error: error:0D07803A:asn1 encoding routines:ASN1_ITEM_EX_D2I:nested asn1 er$
[Wed Jan 11 20:23:52.175415 2017] [ssl:emerg] [pid 16755:tid 139630886958976] AH02564: Failed to configure encrypted (?) private key domainom.hu:443:0, check /etc$

> Init: Private key not found

Pedig ez egy bazira egyértelműnek látszó hibaüzenet.
)    <- így görbüljél meg, hogy tényleg odatetted a privát kulcsot a helyére? :)

Spikes

Ezt értem de ott van a key file...

És a zapacsnak még olvasási joga is van rá? rootból fut a zapacs?

Tegyél be kérlek egy grep '\-\-\-\-' valami.pem kimenetet az apachenak megadott tanúsítvány-fájlról.

Hány bájtos a fájl?

File-on jogosultságok?

> Lehet blőd a kérdés, de netlock-online.crt file az honnan van?

Emlékeim szerint amikor letöltöd a tanúsítványodat, akkor választhatod, hogy bundle-ba bele legyen csomagolva a teljes tanúsítványlánc.

Úgy egyébként pedig:
https://www.netlock.hu/html/cacrl.html

Az oldal közepénél a "NetLock OnlineSSL Tanúsítványkiadó"

Az a crt file volt nekem is csak biztosra akartam menni.
Szal azt felraktam megadtam neki elérési utat.
Felraktam .pem file-t utat megadtam ellenőriztem...

Az alap key file is ott van pem mellett, bár az első verziódban az nincs benne...
Kipróbáltam úgy is ha azt is belerakom conf-ba na ekkor restartnál kéri a pass-t megadom, de apache nem indul el...

Még olyan ötletem van, hogy - egy teszt erejéig - lődd le a pass védelmet a privát kulcsról:

openssl rsa -passin pass:XXXX -passout pass:XXXX -in valami.key -out valami.key.unsecure

Ha ezzel megy, akkor...

Ez a pass dolog bekeverhet?
Egyáltalán akkor az első verzió szerint magát a .key file-t nem is kell megadni? Azért áll pem 2 részből?

Spikes

Kérlek, fuss neki a 18:29-es hozzászólásomnak még egyszer, és próbáld értelmezni.

Igen értem:)

így néz ki conf.

SSLEngine On
# SSLCACertificateFile /etc/ssl/certs/netlock-online.crt
# SSLCertificateFile /etc/ssl/private/mail.XXX.hu.pem

SSLCertificateFile /etc/apache2/cert/mail.XXX.hu.crt
SSLCertificateKeyFile /etc/apache2/cert/mail.XXX.hu.key

Spikes

Cool, és akkor
- a .crt-ben 1 szekció van, BEGIN CERTIFICATE kezdettel, ugye?
- a .key-ben is 1 szekció van, BEGIN RSA PRIVATE KEY kezdettel, ugye?

Várj! Ami most aktív az nem a neltockos, az csak egy sima local cert.
Ami kommentezve van az a netlockos..

Abba pedig
.crt-ben 1
.pem fileban 2 szekció van.

muszály visszaraknom mert azért használják közbe..

Spikes

> Ami kommentezve van az a netlockos..

Ja, én meg gondolatolvasó vagyok.

Akkor fussunk neki újból. Akkor a .pem-ben tehát két szekció van, amiből az egyik BEGIN CERTIFICATE, a másik pedig BEGIN RSA PRIVATE KEY kezdetű, ugye?

NEM:(

-----BEGIN CERTIFICATE-----
GWilyfl4rrXbRMug/AzEjN7qcmRchZKPzsu0AodMEOziRYou+/sfM3IjBa3uXj4u
IUKMr+92CI51yMEtyiYinHxsPnnRDOXTpeNyM+FbwxujjQFO2WbbYShrR33zOwld
PhDsKH22azkJFcOONZy29ggpabJ+Rf6opJz2ks17jJLQQeEBY7vPNyqb
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
+C8lcLIhJsFyUR+MLMOEkMNaj7rP9KdlpeuY0fsFskZ1FSNqb4VjMIDw1Z4fKRzC
bLBQWV2QWzuoDTDPv31/zvGdg73JRm4gpvlhUbohL3u+pRVjodSVh/GeufOJ8z2F
uLjbvrW5KfnaNwUASZQDhETnv0Mxz3WLJdH0pmT1kvarBes96aULNmLazAZfNou2
XjG4Kvte9nHfRCaexOYNkbQudZWAUWpLMKawYqGT8ZvYzsRjdT9ZR7E=
-----END CERTIFICATE-----

ilyen csak hosszabb a kód...

Jó, akkor abban a fájlban nem csak a te tanúsítványod van, hanem több tanúsítvány, mégpedig - ránézésre - az első a NetLock Online, a második a tied.

Válassz az alábbi két lehetőség közül:

1.) kidobod a .pem-ből az első szekciót, és bemásolod a helyére az általad generált privát kulcsot.

vagy

2.) kidobod a .pem-ből az első szekciót. Ekkor a .pem-ben csak 1 darab tanúsítvány lesz ÉS megadod az apache konfigban a külön .key fájlt.

Én pedig most elmentem vacsorázni.

Köszönöm....

Sajnos nem működik így sem:(

Spikes

Esetleg vmi ötlet még?
Az az érdekes, hogy nem indul el apache vmiért...

Spikes

a legfrisseb log:

[Thu Jan 12 10:44:17.372365 2017] [ssl:error] [pid 7867:tid 140347676088192] SSL Library Error: error:04093004:rsa routines:OLD_RSA_PRIV_DECODE:RSA lib
[Thu Jan 12 10:44:17.372369 2017] [ssl:error] [pid 7867:tid 140347676088192] SSL Library Error: error:0D0680A8:asn1 encoding routines:ASN1_CHECK_TLEN:wrong tag
[Thu Jan 12 10:44:17.372374 2017] [ssl:error] [pid 7867:tid 140347676088192] SSL Library Error: error:0D07803A:asn1 encoding routines:ASN1_ITEM_EX_D2I:nested asn1 error (Type=PKCS8_PRIV_KEY_INFO)
[Thu Jan 12 10:44:17.372381 2017] [ssl:emerg] [pid 7867:tid 140347676088192] AH02564: Failed to configure encrypted (?) private key domainom.hu:443:0, check /etc/ssl/private/domainom.hu.pem
[Thu Jan 12 10:45:27.876733 2017] [ssl:error] [pid 7994:tid 140418486294400] AH02579: Init: Private key not found
[Thu Jan 12 10:45:27.876750 2017] [ssl:error] [pid 7994:tid 140418486294400] SSL Library Error: error:0D0680A8:asn1 encoding routines:ASN1_CHECK_TLEN:wrong tag
[Thu Jan 12 10:45:27.876758 2017] [ssl:error] [pid 7994:tid 140418486294400] SSL Library Error: error:0D08303A:asn1 encoding routines:ASN1_TEMPLATE_NOEXP_D2I:nested asn1 error
[Thu Jan 12 10:45:27.876762 2017] [ssl:error] [pid 7994:tid 140418486294400] SSL Library Error: error:0D0680A8:asn1 encoding routines:ASN1_CHECK_TLEN:wrong tag
[Thu Jan 12 10:45:27.876768 2017] [ssl:error] [pid 7994:tid 140418486294400] SSL Library Error: error:0D07803A:asn1 encoding routines:ASN1_ITEM_EX_D2I:nested asn1 error (Type=RSA)
[Thu Jan 12 10:45:27.876773 2017] [ssl:error] [pid 7994:tid 140418486294400] SSL Library Error: error:04093004:rsa routines:OLD_RSA_PRIV_DECODE:RSA lib
[Thu Jan 12 10:45:27.876777 2017] [ssl:error] [pid 7994:tid 140418486294400] SSL Library Error: error:0D0680A8:asn1 encoding routines:ASN1_CHECK_TLEN:wrong tag
[Thu Jan 12 10:45:27.876782 2017] [ssl:error] [pid 7994:tid 140418486294400] SSL Library Error: error:0D07803A:asn1 encoding routines:ASN1_ITEM_EX_D2I:nested asn1 error (Type=PKCS8_PRIV_KEY_INFO)
[Thu Jan 12 10:45:27.876790 2017] [ssl:emerg] [pid 7994:tid 140418486294400] AH02564: Failed to configure encrypted (?) private key domainom.hu:443:0, check /etc/ssl/private/domainom.hu.pem
[Thu Jan 12 10:46:05.586202 2017] [ssl:warn] [pid 8061:tid 140254518904704] AH01906: domainom.hu:443:0 server certificate is a CA certificate (BasicConstraints: CA == TRUE !?)
[Thu Jan 12 10:46:05.594682 2017] [ssl:warn] [pid 8062:tid 140254518904704] AH01906: domainom.hu:443:0 server certificate is a CA certificate (BasicConstraints: CA == TRUE !?)
[Thu Jan 12 10:49:37.170094 2017] [ssl:emerg] [pid 8339:tid 140026488924032] AH02564: Failed to configure encrypted (?) private key domainom.hu:443:0, check /etc/ssl/private/domainom.hu.key
[Thu Jan 12 10:49:37.170136 2017] [ssl:emerg] [pid 8339:tid 140026488924032] SSL Library Error: error:0B080074:x509 certificate routines:X509_check_private_key:key values mismatch
[Thu Jan 12 10:49:58.514338 2017] [ssl:emerg] [pid 8404:tid 140153094383488] AH02564: Failed to configure encrypted (?) private key domainom.hu:443:0, check /etc/ssl/private/domainom.hu.key
[Thu Jan 12 10:49:58.514377 2017] [ssl:emerg] [pid 8404:tid 140153094383488] SSL Library Error: error:0B080074:x509 certificate routines:X509_check_private_key:key values mismatch
[Thu Jan 12 10:50:16.261095 2017] [ssl:emerg] [pid 8462:tid 140145143232384] AH02580: Init: Pass phrase incorrect for key domainom.hu:443:0
[Thu Jan 12 10:50:16.261137 2017] [ssl:emerg] [pid 8462:tid 140145143232384] SSL Library Error: error:0D0680A8:asn1 encoding routines:ASN1_CHECK_TLEN:wrong tag
[Thu Jan 12 10:50:16.261147 2017] [ssl:emerg] [pid 8462:tid 140145143232384] SSL Library Error: error:0D08303A:asn1 encoding routines:ASN1_TEMPLATE_NOEXP_D2I:nested asn1 error
[Thu Jan 12 10:50:16.261152 2017] [ssl:emerg] [pid 8462:tid 140145143232384] SSL Library Error: error:0D0680A8:asn1 encoding routines:ASN1_CHECK_TLEN:wrong tag
[Thu Jan 12 10:50:16.261158 2017] [ssl:emerg] [pid 8462:tid 140145143232384] SSL Library Error: error:0D07803A:asn1 encoding routines:ASN1_ITEM_EX_D2I:nested asn1 error (Type=RSA)
[Thu Jan 12 10:50:16.261165 2017] [ssl:emerg] [pid 8462:tid 140145143232384] SSL Library Error: error:04093004:rsa routines:OLD_RSA_PRIV_DECODE:RSA lib
[Thu Jan 12 10:50:16.261170 2017] [ssl:emerg] [pid 8462:tid 140145143232384] SSL Library Error: error:0D0680A8:asn1 encoding routines:ASN1_CHECK_TLEN:wrong tag
[Thu Jan 12 10:50:16.261175 2017] [ssl:emerg] [pid 8462:tid 140145143232384] SSL Library Error: error:0D07803A:asn1 encoding routines:ASN1_ITEM_EX_D2I:nested asn1 error (Type=PKCS8_PRIV_KEY_INFO)
[Thu Jan 12 10:50:16.261186 2017] [ssl:emerg] [pid 8462:tid 140145143232384] AH02564: Failed to configure encrypted (?) private key domainom.hu:443:0, check /etc/ssl/private/domainom.hu.key
[Thu Jan 12 10:50:29.490118 2017] [ssl:emerg] [pid 8511:tid 140306584024960] AH02580: Init: Pass phrase incorrect for key domainom.hu:443:0
[Thu Jan 12 10:50:29.490157 2017] [ssl:emerg] [pid 8511:tid 140306584024960] SSL Library Error: error:0D0680A8:asn1 encoding routines:ASN1_CHECK_TLEN:wrong tag
[Thu Jan 12 10:50:29.490166 2017] [ssl:emerg] [pid 8511:tid 140306584024960] SSL Library Error: error:0D08303A:asn1 encoding routines:ASN1_TEMPLATE_NOEXP_D2I:nested asn1 error
[Thu Jan 12 10:50:29.490171 2017] [ssl:emerg] [pid 8511:tid 140306584024960] SSL Library Error: error:0D0680A8:asn1 encoding routines:ASN1_CHECK_TLEN:wrong tag
[Thu Jan 12 10:50:29.490177 2017] [ssl:emerg] [pid 8511:tid 140306584024960] SSL Library Error: error:0D07803A:asn1 encoding routines:ASN1_ITEM_EX_D2I:nested asn1 error (Type=RSA)
[Thu Jan 12 10:50:29.490183 2017] [ssl:emerg] [pid 8511:tid 140306584024960] SSL Library Error: error:04093004:rsa routines:OLD_RSA_PRIV_DECODE:RSA lib
[Thu Jan 12 10:50:29.490188 2017] [ssl:emerg] [pid 8511:tid 140306584024960] SSL Library Error: error:0D0680A8:asn1 encoding routines:ASN1_CHECK_TLEN:wrong tag
[Thu Jan 12 10:50:29.490193 2017] [ssl:emerg] [pid 8511:tid 140306584024960] SSL Library Error: error:0D07803A:asn1 encoding routines:ASN1_ITEM_EX_D2I:nested asn1 error (Type=PKCS8_PRIV_KEY_INFO)
[Thu Jan 12 10:50:29.490206 2017] [ssl:emerg] [pid 8511:tid 140306584024960] AH02564: Failed to configure encrypted (?) private key domainom.hu:443:0, check /etc/ssl/private/domainom.hu.key
[Thu Jan 12 10:50:51.553222 2017] [ssl:emerg] [pid 8549:tid 140601955096448] AH02580: Init: Pass phrase incorrect for key domainom.hu:443:0
[Thu Jan 12 10:50:51.553254 2017] [ssl:emerg] [pid 8549:tid 140601955096448] SSL Library Error: error:0D0680A8:asn1 encoding routines:ASN1_CHECK_TLEN:wrong tag
[Thu Jan 12 10:50:51.553265 2017] [ssl:emerg] [pid 8549:tid 140601955096448] SSL Library Error: error:0D08303A:asn1 encoding routines:ASN1_TEMPLATE_NOEXP_D2I:nested asn1 error
[Thu Jan 12 10:50:51.553270 2017] [ssl:emerg] [pid 8549:tid 140601955096448] SSL Library Error: error:0D0680A8:asn1 encoding routines:ASN1_CHECK_TLEN:wrong tag
[Thu Jan 12 10:50:51.553276 2017] [ssl:emerg] [pid 8549:tid 140601955096448] SSL Library Error: error:0D07803A:asn1 encoding routines:ASN1_ITEM_EX_D2I:nested asn1 error (Type=RSA)
[Thu Jan 12 10:50:51.553282 2017] [ssl:emerg] [pid 8549:tid 140601955096448] SSL Library Error: error:04093004:rsa routines:OLD_RSA_PRIV_DECODE:RSA lib
[Thu Jan 12 10:50:51.553287 2017] [ssl:emerg] [pid 8549:tid 140601955096448] SSL Library Error: error:0D0680A8:asn1 encoding routines:ASN1_CHECK_TLEN:wrong tag
[Thu Jan 12 10:50:51.553301 2017] [ssl:emerg] [pid 8549:tid 140601955096448] SSL Library Error: error:0D07803A:asn1 encoding routines:ASN1_ITEM_EX_D2I:nested asn1 error (Type=PKCS8_PRIV_KEY_INFO)
[Thu Jan 12 10:50:51.553313 2017] [ssl:emerg] [pid 8549:tid 140601955096448] AH02564: Failed to configure encrypted (?) private key domainom.hu:443:0, check /etc/ssl/private/domainom.hu.key
[Thu Jan 12 10:51:14.527816 2017] [ssl:emerg] [pid 8596:tid 140077754128256] AH02564: Failed to configure encrypted (?) private key domainom.hu:443:0, check /etc/ssl/private/domainom.hu.key
[Thu Jan 12 10:51:14.527854 2017] [ssl:emerg] [pid 8596:tid 140077754128256] SSL Library Error: error:0B080074:x509 certificate routines:X509_check_private_key:key values mismatch
[Thu Jan 12 10:51:46.009577 2017] [ssl:warn] [pid 8671:tid 140717767870336] AH01906: domainom.hu:443:0 server certificate is a CA certificate (BasicConstraints: CA == TRUE !?)
[Thu Jan 12 10:51:46.017946 2017] [ssl:warn] [pid 8672:tid 140717767870336] AH01906: domainom.hu:443:0 server certificate is a CA certificate (BasicConstraints: CA == TRUE !?)

Spikes