Frage Das für SERVER konfigurierte RSA-Zertifikat enthält KEINE ID, die mit dem Servernamen übereinstimmt


Ich habe vor kurzem einen LAMP-Server (die neuesten Versionen) mit WordPress gestartet und ich versuche ein SSL-Zertifikat zu installieren, das ich kürzlich gekauft habe. Wenn ich neu starte apachectl, error_log gibt mir folgendes:

[Tue Feb 25 01:07:14.744222 2014] [mpm_prefork:notice] [pid 1744] AH00169: caught SIGTERM, shutting down
[Tue Feb 25 01:07:17.135704 2014] [suexec:notice] [pid 1765] AH01232: suEXEC mechanism enabled (wrapper: /usr/sbin/suexec)
[Tue Feb 25 01:07:17.217424 2014] [auth_digest:notice] [pid 1766] AH01757: generating secret for digest authentication ...
[Tue Feb 25 01:07:17.218686 2014] [lbmethod_heartbeat:notice] [pid 1766] AH02282: No slotmem from mod_heartmonitor
PHP Warning:  PHP Startup: Unable to load dynamic library '/usr/lib64/php/5.5/modules/mysql.so' - /usr/lib64/php/5.5/modules/mysql.so: cannot open shared object file: No such file or directory in Unknown on line 0
PHP Warning:  PHP Startup: Unable to load dynamic library '/usr/lib64/php/5.5/modules/mysqli.so' - /usr/lib64/php/5.5/modules/mysqli.so: cannot open shared object file: No such file or directory in Unknown on line 0
[Tue Feb 25 01:07:17.305292 2014] [mpm_prefork:notice] [pid 1766] AH00163: Apache/2.4.6 (Amazon) OpenSSL/1.0.1e-fips PHP/5.5.7 configured -- resuming normal operations
[Tue Feb 25 01:07:17.305378 2014] [core:notice] [pid 1766] AH00094: Command line: '/usr/sbin/httpd'

Während ssl_error_log gibt mir das:

[Tue Feb 25 00:57:15.802287 2014] [ssl:warn] [pid 1705] AH01909: RSA certificate configured for ec2-XX-XXX-XXX-XX.compute-1.amazonaws.com:443 does NOT include an ID which matches the server name
[Tue Feb 25 00:57:15.899327 2014] [ssl:warn] [pid 1706] AH01909: RSA certificate configured for ec2-XX-XXX-XXX-XX.compute-1.amazonaws.com:443 does NOT include an ID which matches the server name

Ich habe "ServerName" in geändert ssl.conf auf den Namen meines Servers (dcurrano.com) und neu gestartet apachectl, aber dieser Fehler tritt auf. Irgendwelche Ideen warum?

Nebenbei habe ich den CommonName des Servers nicht gesetzt, könnte das das Problem sein?


21
2018-02-25 01:15


Ursprung




Antworten:


openssl x509 -in server.crt -noout -subject

Sollte der CN das Zertifikat zurückgeben. Das ist der Name, den Sie in der ServerName-Direktive verwenden und mit dem Sie sich verbinden müssen.


38
2018-02-25 01:32



Das ist es, danke Quad! - eclipsis
# openssl x509 -in server.crt -noout -subject Fehler beim Öffnen des Zertifikats server.crt 140451499632288: Fehler: 02001002: Systembibliothek: fopen: Keine solche Datei oder Verzeichnis: bss_file.c: 398: fopen ('server.crt', ' r ') 140451499632288: Fehler: 20074002: BIO-Routinen: FILE_CTRL: system lib: bss_file.c: 400: Zertifikat konnte nicht geladen werden - jmituzas
@jmituzas, du solltest dich ändern server.crt im openssl x509 -in server.crt -noout -subject zu Ihrem Server.crt-Placement - avivmg
Praktisch alle öffentlichen CAs geben heutzutage Zertifikate mit dem BetreffAlternativeName Erweiterung, und Sie können einen oder alle Namen in dieser Erweiterung verwenden (oder einen Namen, der einem Platzhalter entspricht). OpenSSL zeigt SAN nicht isoliert an, aber Sie können etwas wie openssl x509 -in cert -text | grep -A1 "Subject Alternative Name" - dave_thompson_085
Stellen Sie außerdem sicher, dass Sie die Anweisung ServerName hinzufügen und nicht nur die Adresse des virtuellen Hosts festlegen (was sich in meinem Fall als Problem herausgestellt hat). - hugovdberg


Alternativ, wenn Sie, wie ich, Sie nicht einmal SSL verwenden, erhalten Sie immer noch diese Fehlermeldung, weil die Verwendung von SSL standardmäßig aktiviert ist. In diesem Fall schalten Sie es aus! Hier ist ein Auszug aus config.d/ssl.conf:

#   SSL Engine Switch:
#   Enable/Disable SSL for this virtual host.
#SSLEngine on
SSLEngine off

3
2018-04-12 23:52



Ich habe Ihre Antwort bewertet, weil die Frage ausdrücklich besagt, dass er ein Zertifikat gekauft hat. Ich kaufe normalerweise keine Dinge, die ich nicht verwenden möchte. - hugovdberg


Ich hatte das gleiche Problem, aber es war aus einem anderen Grund. Ich poste es hier für zukünftige Googler:

auf meiner Apache2 Config-Datei, anstatt zu haben <VirtualHost *:443>, Ich hatte <VirtualHost *:80>. Sobald ich das behoben hatte, war die Seite wieder einsatzbereit.


3
2017-11-12 20:58



Gleiche Lösung mit mir - David Okwii


Stellen Sie sicher, dass Ihr ServerName genau derselbe ist openssl x509 -in server.crt -noout -subject Ausgabe. Wenn es www gibt, braucht ServerName auch einen. Wenn nicht, muss ServerName www löschen.


0
2018-05-14 02:47





Ich hatte das gleiche AH01909: RSA-Zertifikat Error. In meinem Fall hatte ich das Richtige serverName Wert.

Die Ursache des Fehlers war eine falsche IP-Adresse in der <VirtualHost 10.11.12.13:443> Definition für die sichere Site. Ich hatte mich vertippt!


0
2018-05-24 18:43





Ich habe dieses Problem durch meine ausgelöst /etc/hosts Datei.

Ich hatte einen virtuellen Host, nennen wir es www.effinwhatever.com

Der Hostname des Servers war www2.

Ich habe eine Zeile zu meinem hinzugefügt /etc/hosts also könnte ich Sachen gegen den virtuellen Host einrollen:

192.168.1.200         www.effinwhatever.com

Sobald ich diese Zeile von meinem entfernt habe /etc/hosts, mein Apache-Server begann wieder normal zu starten (mit einem Neustart des Dienstes). Seltsam.

Es kann auch relevant sein, dass mein SSL-Zertifikat für eine Wildcard-Domain ist.


0
2017-12-21 21:39