1. Zuhause
  2. Frage und Antwort
  3. haproxy: Inkonsistenzen zwischen dem privaten Schlüssel und dem aus der PEM-Datei geladenen Zertifikat

haproxy: Inkonsistenzen zwischen dem privaten Schlüssel und dem aus der PEM-Datei geladenen Zertifikat

2015-07-08 13 views
7

Ich versuche, das für einen anderen Server signierte Zertifikat zu verwenden. Ich habe sowohl privaten Schlüssel als auch Zertifikat.haproxy: Inkonsistenzen zwischen dem privaten Schlüssel und dem aus der PEM-Datei geladenen Zertifikat

Meine PEM-Datei Reihenfolge ist:

subject=/C=***/L=*****/O=**********/CN=********* 
issuer=/C=***/O=*****Inc/CN=********Secure Server CA 
-----BEGIN CERTIFICATE----- 
-----END CERTIFICATE----- 
subject=/C=US/O=******** Inc/CN=********* SHA2 Secure Server CA 
issuer=/C=US/O=********* Inc/OU=*********/CN=******** Global Root CA 
-----BEGIN CERTIFICATE----- 
-----END CERTIFICATE----- 
subject=/C=US/O=********* Inc/OU=***********/CN=*********** Global Root CA 
issuer=/C=US/O=********* Inc/OU=************/CN=******** Global Root CA 
-----BEGIN CERTIFICATE----- 
-----END CERTIFICATE----- 
-----BEGIN RSA PRIVATE KEY----- 
-----END RSA PRIVATE KEY-----

Als ich versuchte, es zu meinem haproxy zu implementieren, ich diese Fehlermeldung bekam.

[ALERT] 188/141626 (2322) : parsing [/etc/haproxy/haproxy.cfg:32] : 'bind *:443' : inconsistencies between private key and certificate loaded from PEM file ................ 
[ALERT] 188/141626 (2322) : Error(s) found in configuration file : /etc/haproxy/haproxy.cfg 
[ALERT] 188/141626 (2322) : Proxy 'www-https': no SSL certificate specified for bind '*:443' at [/etc/haproxy/haproxy.cfg:32] (use 'crt'). 
[ALERT] 188/141626 (2322) : Fatal errors found in configuration. 
Errors in configuration file, check with haproxy check.

Und meine haproxy Version ist:

HA-Proxy version 1.5.2 2014/07/12 
Copyright 2000-2014 Willy Tarreau <[email protected]>

ich meine haproxy mit selbst signierten Zertifikat starten kann. Warum tritt diese Inkonsistenz auf? Ich bin sicher, dass der private Schlüssel zum Zertifikat gehört.

Ich versuche seit Stunden, aber ich kann den Grund nicht finden.

Bitte helfen! Vielen Dank!

Quelle

2015-07-08 Ufuk Yürük

+0

Ich hatte vor kurzem ein ähnliches Problem. Ich habe festgestellt, dass der private Schlüssel und das Zertifikat nicht übereinstimmen, daher hat der HA-Proxy diesen Fehler angezeigt. Ich folgte die Schritte von hier, um das Spiel zu überprüfen: https://www.sslshopper.com/certificate-key-matcher.html Sie haben wahrscheinlich Ihr Problem bereits gelöst, aber ich wollte diesen Kommentar posten, wie es für nützlich sein könnte andere Leute. –

Antwort

15

Die Reihenfolge der Zertifikate in Ihrer Datei ist falsch. Es scheint, dass Sie zuerst das Zwischenzertifikat (d. H. Secure Server CA) setzen, von dem erwartet wird, dass es das Serverzertifikat ist. Die Reihenfolge der Zertifikate muss sein:

  • Serverzertifikat
  • Server private Schlüssel (ohne Passwort)
  • Zwischenzertifikat 1
  • Zwischenzertifikat 2

Es ist eigentlich nicht, dass wichtig, wo Sie den privaten Schlüssel legen. Die Reihenfolge der Zertifikate muss jedoch streng von Blatt zu Wurzel geordnet werden, d. H. Zuerst das Serverzertifikat, dann das Zwischenprodukt und dann das Elternzertifikat. Grundsätzlich Sie das Serverzertifikat an erster Stelle, dann seine Unterzeichner, dann seine Unterzeichner, ...

Weitere Informationen finden Sie in the documentation.

Quelle

2015-07-13 12:15:53

+2

Es gibt kein Problem, den privaten Schlüssel zuerst zu setzen. Das funktioniert gut. –

+4

Falls diese Antwort Ihr Problem nicht löst, möchten Sie möglicherweise versuchen, die Passphrase aus dem privaten Schlüssel zu entfernen. Es hat das Problem für mich gelöst. Um das Passwort zu entfernen, versuchen Sie 'openssl rsa -in [PRIVATE_KEY_FILE] -out nopassphrase.key' – brunettdan

Verwandte Themen

 Verwandte Themen