certificate routines:X509_check_private_key:key values mismatch エラー対応

送られてきたサーバ証明書を設定してconfigを書き換えて、さぁ、ドキドキつつ再起動して、こんなエラー出たときの対応方法。

[Tue Aug 02 10:36:57.651365 2016] [ssl:warn] [pid 27745] AH01906: RSA server certificate is a CA certificate (BasicConstraints: CA == TRUE !?)
[Tue Aug 02 10:36:57.651600 2016] [ssl:warn] [pid 27745] AH01909: RSA certificate configured for www.example.co.jp:443 does NOT include an ID which matches the server name
[Tue Aug 02 10:36:57.651643 2016] [ssl:emerg] [pid 27745] AH02238: Unable to configure RSA server private key
[Tue Aug 02 10:36:57.651683 2016] [ssl:emerg] [pid 27745] SSL Library Error: error:0B080074:x509 certificate routines:X509_check_private_key:key values mismatch
[Tue Aug 02 10:36:57.651697 2016] [ssl:emerg] [pid 27745] AH02311: Fatal error initialising mod_ssl, exiting. See /opt/lampp/logs/error_log for more information

よくある原因

1. 証明書と中間証明書が正しくコピペできていない。

もう一度確認しましょう。

証明書と中間証明書が逆になっている。
別のサーバの証明書をコピペしている、よくあることです(震え声)。

2. 秘密鍵と証明書が正しいペアでない

証明書発行の窓口担当さんが誤って、違うcsrで、証明書発行依頼をかけちゃったとか、そんなパターン。
いくら送られてきたメールとコピペしたファイルを見比べても正しい時はこれを疑いましょう。

確認方法があります。

CSRと秘密鍵と証明書が正しいペアが確認する

# CSRの情報を確認する
$ openssl req -text -noout -in /opt/lampp/etc/ssl.csr/ssl.example2016.csr
# 証明書の情報を確認する
$ openssl x509 -text -noout -in /opt/lampp/etc/ssl.crt/ssl.example2016.crt
# 秘密鍵の情報を確認する
$ openssl rsa -text -noout -in /opt/lampp/etc/ssl.key/ssl.example2016.key

opensslオプションの説明

オプション 説明
req opensslのサブコマンド 証明書のCSR(署名要求)を作成する
x509 opensslのサブコマンド X.509証明書のCSR(署名要求)を作成する
rsa opensslのサブコマンド X.509証明書のCSR(署名要求)を作成する
text テキストで出力する
noout ファイルに出力しない

具体的には以下の様な出力になります。

$ openssl req -text -noout -in /opt/lampp/etc/ssl.csr/ssl.example2016.csr

Certificate Request:
    Data:
        Version: 0 (0x0)
        Subject: C=JP, ST=Tokyo, L=Toshima-ku, O=example, OU=-, CN=www.example.co.jp/emailAddress=-
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:
                    0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:
                    ...(略)...
                    0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:
                    0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:
                    0a:0a

                    d1:6b
                Exponent: 65537 (0x10001)
        Attributes:
            a0:00
    Signature Algorithm: sha1WithRSAEncryption
        ...(略)...
$ openssl x509 -text -noout -in /opt/lampp/etc/ssl.crt/ssl.example2016.crt

Error opening Certificate /opt/lampp/etc/ssl.csr/ssl.example2016.crt
140711357626184:error:02001002:system library:fopen:No such file or directory:bss_file.c:398:fopen('/opt/lampp/etc/ssl.csr/ssl.example2016.crt','r')
140711357626184:error:20074002:BIO routines:FILE_CTRL:system lib:bss_file.c:400:
unable to load certificate

Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 146035 (0x23a73)
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: C=US, O=GeoTrust Inc., CN=GeoTrust Global CA
        Validity
            Not Before: Jun 11 22:02:59 2014 GMT
            Not After : May 20 22:02:59 2022 GMT
        Subject: C=US, O=GeoTrust Inc., OU=Domain Validated SSL, CN=GeoTrust DV SSL CA - G3
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:
                    0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:
                    ...(略)...
                    0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:
                    0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:
                    0a:0b

                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Authority Key Identifier:
                keyid:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a

            X509v3 Subject Key Identifier:
                AD:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a
            X509v3 Basic Constraints: critical
                CA:TRUE, pathlen:0
            X509v3 Key Usage: critical
                Certificate Sign, CRL Sign
            X509v3 CRL Distribution Points:

                Full Name:
                  URI:http://g.symcb.com/crls/gtglobal.crl

            Authority Information Access:
                OCSP - URI:http://g.symcd.com

            X509v3 Certificate Policies:
                Policy: 2.16.840.1.113733.1.7.54
                  CPS: http://www.geotrust.com/resources/cps

            X509v3 Subject Alternative Name:
                DirName:/CN=SymantecPKI-1-699
    Signature Algorithm: sha256WithRSAEncryption
        ...(略)...
$ openssl rsa -text -noout -in /opt/lampp/etc/ssl.key/ssl.example2016.key
Private-Key: (2048 bit)
modulus:
    0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:
    0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:
    ...(略)...
    0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:
    0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:
    0a:0b
publicExponent: 65537 (0x10001)
privateExponent:
    0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:
    0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:
    ...(略)...
    0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:
    0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:0a:
    0a:0b
prime1:
    ...(略)...
prime2:
    ...(略)...
exponent1:
    ...(略)...
exponent2:
    ...(略)...
coefficient:
    ...(略)...
    

それぞれのModulusmodulesの値が一致すれば、同一のペアということになります。

スポンサーリンク

シェアする

  • このエントリーをはてなブックマークに追加

フォローする

スポンサーリンク