Error ssl certificate key pair is not valid

Доброго времени суток всем :) искал искал но, так и не чего не понял(

SALIK

Posts: 62
Joined: Thu Dec 03, 2015 12:22 pm

Os: CentOS 6x
Web: apache + nginx
SSL Сертефикат — Error: ssl certificate key pair is not valid

Доброго времени суток всем :) искал искал но, так и не чего не понял(

Заказал я сертефикат, пришло на емаил такое:

certificate_ca_inter
——BEGIN CERTIFICATE——
Какие то буковки
——END CERTIFICATE——

certificate_ca_root
——BEGIN CERTIFICATE——
Какие то буковки
——END CERTIFICATE——

certificate_pkcs7
——BEGIN PKCS7——
Какие то буковки
——END PKCS7——

certificate_x509cert
——BEGIN CERTIFICATE——
Какие то буковки
——END CERTIFICATE——

private_key
——BEGIN RSA PRIVATE KEY——
Какие то буковки
——END RSA PRIVATE KEY——

И еще есть в панеле регистратора доменов (я через reg.ru) получал

Данные сертификата:
——BEGIN CERTIFICATE REQUEST——
Какие то буковки
——END CERTIFICATE REQUEST——

В Весте нажимаю «Поддержка SSL» вставляю все ключи вроде туда куда надо, но вылезает ошибка «Error: ssl certificate key pair is not valid»

Может быть все-таки надо еще что-то сделать или же я всеже что то не туда вставляю, подскажите как с это победить?

SALIK

Posts: 62
Joined: Thu Dec 03, 2015 12:22 pm

Os: CentOS 6x
Web: apache + nginx
Re: SSL Сертефикат — Error: ssl certificate key pair is not valid

Post

by SALIK » Fri Dec 25, 2015 12:58 pm

Методом тыка и перебора заполнил в таком порядке и изменения сохранились:

SSL сертификат:
certificate_x509cert
——BEGIN CERTIFICATE——
Какие то буковки
——END CERTIFICATE——

Ключ SSL сертификата
private_key
——BEGIN RSA PRIVATE KEY——
Какие то буковки
——END RSA PRIVATE KEY——

Центр сертификации SSL / Intermediate
certificate_ca_inter
——BEGIN CERTIFICATE——
Какие то буковки
——END CERTIFICATE——
——BEGIN CERTIFICATE——
Какие то буковки
——END CERTIFICATE——

Источник

При открытии сайтов в браузере иногда возникают ошибки – домен в адресной строке выделяется красным с зачеркиванием или ресурс вообще не открывается. Типовая причина скрывается в сбоях работы сертификата SSL. Исправить их может только администратор сайта, но перед обращением к нему стоит проверить собственный компьютер.

Что такое SSL

Текущие тенденции сайтостроения предполагают высокую безопасность соединения пользователя с веб-ресурсом. Это необходимо для защиты персональных данных, секретных номеров банковских карт и информации о проводимых сделках. Организуется безопасность подключением протокола шифрования Secure Sockets Layer (сокращенно SSL).

SSL

Особенности сертификата:

  1. Сертификат выпускается доверенным центром Certification Authority (CA).
  2. После выдачи он подключается к домену средствами провайдера хостинга.
  3. Срок его действия ограничен 1 годом, после чего требуется продление.

Работа сайта возможна и без SSL, но поисковые системы «не доверяют» таким ресурсам и помечают их в браузере как неблагонадежные. Поэтому лучше разобраться, как решить проблему с защитой и полноценно пользоваться протоколом HTTPS. Сертификат актуален на сайтах, где присутствует регистрация, предлагается покупка товаров или онлайн-оплата различных сервисов.

Сертификат ССЛ

При появлении любых сомнений в исправности защиты регистрироваться на сайте или вводить ранее выданные логин и пароль не рекомендуется. Тем более не стоит осуществлять онлайн-оплату с банковских карт или электронных кошельков, ведь не исключено, что проблема возникла из-за взлома ресурса злоумышленниками.

Комьюнити теперь в Телеграм

Подпишитесь и будьте в курсе последних IT-новостей

Подписаться

Причины появления ошибок SSL

Существует всего две причины, почему браузер отображает ошибку сертификата SSL со стороны сервера. Первая заключается в окончании срока активации, вторая – это покупка сертификата у поставщика без достаточных полномочий для выдачи «полноценной защиты». Например, виной может быть выбор самоподписанного сертификата, лишь эмулирующего работу реального протокола.

Остальные проблемы обычно скрываются на локальном компьютере:

  1. Произошел сброс системного времени.
  2. Неправильно настроена антивирусная программа.
  3. Сбоит браузер или установленное расширение.
  4. Срабатывает вредоносный скрипт.

Чтобы выяснить настоящую причину, пользователю браузера рекомендуется проверить все перечисленные факторы. При том же заражении компьютерными вирусами возможно проявление сразу нескольких симптомов – от изменения текущего времени и блокировки антивирусом до подключения перенаправления страниц в браузере и других неприятностей.

Изредка встречаются ситуации, когда проблема возникла со стороны администратора, если он ошибся при подключении нового сертификата или забыл продлить его действие. Обычно такие неполадки устраняются быстро, потому что после активации сайт проверяется и, в случае неработоспособности сертификата, проводится повторное подключение вплоть до получения положительного результата.

Время и дата

Сертификат SSL имеет четко обозначенный срок действия с датой активации и деактивации. Такой подход отчасти дает дополнительную защиту, потому что в случае технического сбоя в системных часах компьютера сайты перестают открываться. Сброс времени обычно происходит «назад», на дату изготовления материнской платы, на что и реагирует система.

Варианты исправления ситуации:

  1. Вручную внести корректную дату и время, после чего обновить страницу в браузере.
  2. Воспользоваться функцией синхронизации через интернет, встроенной в Windows.
  3. Заменить батарейку на памяти BIOS. При первом запуске ПК нужно внести корректные данные.

Каждый раз после изменения времени рекомендуется ручное обновление страницы или перезапуск браузера. Такой шаг активирует повторное соединение с сервером и позволяет зайти на сайт «с нуля», но уже с правильным временем, соответствующим сроку действия сертификата SSL (после активации и до ее завершения).

Настройки антивируса и брандмауэра

Программы для защиты компьютера от вирусов и хакерских атак иногда блокируют и «полезные» соединения, например, определенные домены или сразу весь протокол HTTPS, используемый при подключении сертификата SSL. Большинство антивирусов и брандмауэров проверяют его работу, и это становится причиной блокировки сайта как «злоумышленника, пытающего украсть данные».

Ошибка антивируса

Варианты исправления ситуации:

  1. Отключить режим «проверка протокола HTTPS». После этого зайти на сайт заново.
  2. Полностью выключить антивирусную программу. Перезагрузить ПК, открыть страницу.
  3. Сбросить настройки брандмауэра. Опять проводится перезапуск компьютера и веб-ресурса.

Функция временного отключения имеется в любой защитной программе, даже интегрированной в операционную систему Windows. Но это не гарантирует полную деактивацию приложения. В этом случае разобраться в ситуации поможет открытие сайта на другом компьютере или запуск безопасного режима (актуально для проводного подключения к интернету).

Браузер и операционная система

Наличие проблемы с браузером проще всего определить открытием сайта на другом устройстве или в другой программе. Иногда решение заключается в банальном обновлении версии приложения до актуальной. То же относится к операционной системе, если используется интегрированный браузер вроде Edge. Пакеты обновлений для того и выпускаются, чтобы устранять неполадки в ПО.

Браузер и операционная система

Варианты исправления ситуации:

  1. Полностью очистить историю браузера вместе с кэшем и другими данными.
  2. Временно отключить все ранее установленные и активные расширения.
  3. Переустановить программу после ее полной деинсталляции.

Остается еще один вариант – сбросить настройки браузера до состояния «по умолчанию». Способ аналогичен переустановке, но экономит время. Правда, он неэффективен, если проблема возникла из-за сбоя в одном из служебных файлов программы. Отдельное внимание стоит уделить расширению, выполняющему функции антивирусной защиты, ведь оно часто блокирует даже безопасное соединение.

Заражение компьютерными вирусами

Выдачей ошибки SSL браузер, вероятно, предупреждает о попытке его подмены, переадресации на сайт-клон или иной угрозе. В это случае рекомендуется провести полную проверку компьютера на наличие вирусов. Если присутствуют другие признаки заражения, стоит скачать парочку программ со свежими антивирусными базами (например, CureIt).

Заражение компьютерными вирусами

Варианты исправления ситуации:

  1. Временно отключить все программы из автозагрузки.
  2. Провести очистку диска от временных файлов.
  3. Перезагрузить компьютер после предыдущих шагов.

Выполняются перечисленные действия программами типа CCleaner. Они дают прямой доступ как к автозагрузке операционной системе, так и к списку расширений установленных браузеров. Также в таких программах обычно есть функция удаления ненужных системных файлов, в которых запросто может быть тело компьютерного вируса.

Если предложенные способы устранения ошибки SSL не помогли, остается ждать, пока проблему устранит администратор, или воспользоваться любым другим тематическим сайтом с аналогичным контентом.

Источник

For SSL key values mismatch issue, it means the private key file does not match the certificate. There are two main reasons.

  • key values mismatch in private key, CSR, and certificate file.
  • certificate chain order is not correct

Error message:Cannot load SSL private key file. Error: error: 0B080074:x509 certificate routines:X509_check_private_key:key values mismatch.

What is SSL certificate

Server certificates are the most popular type of X.509 certificate. SSL/TLS certificates are issued to hostnames (machine names like ‘ABC-SERVER-02’ or domain names like google.com).

A server certificate is a file installed on a website’s origin server. It’s simply a data file containing the public key and the identity of the website owner, along with other information. Without a server certificate, a website’s traffic can’t be encrypted with TLS.

Technically, any website owner can create their own server certificate, and such certificates are called self-signed certificates. However, browsers do not consider self-signed certificates to be as trustworthy as SSL certificates issued by a certificate authority.

Understanding SSL certificates

How to get a SSL server Certificate

  • generate a key pair
  • use this key pair to generate a certificate signing request (CSR) that contains the public key and domain name of our website
  • upload the request to a certificate authority
  • download the certificate and install it on our web server along with the key pair

Verifying Our Keys Match

To verify the public and private keys match, extract the public key from CSR, certificate, Key file and generate a hash output for it.

All three files should share the same public key and the same hash value.

Before we run the verification command:

  • Make sure our CSR, certificate, and Key are PEM format. If not then convert them using openssl command
  • Check hash of the public key to ensure that it matches with what is in a private key

Use the following commands to generate a hash of each file’s public key:

  • openssl pkey -pubout -in private.key | openssl sha256
  • openssl req -pubkey -in request.csr -noout | openssl sha256
  • openssl x509 -pubkey -in certificate.crt -noout | openssl sha256

Each command will output (stdin)= followed by a string of characters. If the output of each command matches, then the keys for each file are the same.

If we run into a key mismatch error, we need to do one of the following:

  • Transfer the private key from the machine used to generate the CSR to the one we are trying to install the certificate on.
  • Install the certificate on the machine with the private key.
  • Generate an entirely new key and create a new CSR on the machine that will use the certificate.

Check the certificate order

If the server certificate and the bundle have been concatenated in the wrong order, we also get this key values mismatch error. In this case, we need to put the server certificate on top of the certificate file.

  • Before (which is wrong) : cat ca_bundle.crt server_certificate.crt > bundle_chained.crt
  • After (which is right): cat server_certificate.crt ca_bundle.crt > bundle_chained.crt

Check SSL Certificate Chain with OpenSSL Examples

The working certificate bundle file should look like below.

  • server certificate
  • intermediate certificate1
  • intermediate certificate2 if we have

—–BEGIN server CERTIFICATE—–
MIICC-this-is-the-certificate-that-signed-your-request
-this-is-the-certificate-that-signed-your-request-this
-is-the-certificate-that-signed-your-request-this-is-t
he-certificate-that-signed-your-request-this-is-the-ce
rtificate-that-signed-your-request-A
—–END  server CERTIFICATE—–
—–BEGIN intermediate CERTIFICATE—–
MIICC-this-is-the-certificate-that-signed-for-that-one
-this-is-the-certificate-that-signed-for-that-one-this
-is-the-certificate-that-signed-for-that-one-this-is-t
he-certificate-that-signed-for-that-one-this-is-the-ce
rtificate-that-signed-for-that-one-this-is-the-certifi
cate-that-signed-for-that-one-AA
—–END intermediate CERTIFICATE—–

  • Exploring SSL Certificate Chain with Examples
  • Understanding X509 Certificate with Openssl Command
  • OpenSSL Command to Generate View Check Certificate
  • Converting CER CRT DER PEM PFX Certificate with Openssl
  • SSL vs TLS and how to check TLS version in Linux
  • Understanding SSH Key RSA DSA ECDSA ED25519
  • Understanding server certificates with Examples
Источник
https://www.lexium.ru/2014/06/nesovpadenie-sertifikata-i-privatnogo-klyucha-na-servere-apache/

В продолжение темы о наиболее часто возникающих вопросах и проблемах при генерации CSR запроса на сервере Apache, а также при установке SSL-сертификата на нем, поговорим об ошибке «x509_check_private_key:key values mismatch».
Такая ошибка говорит о том, что сертификат и приватный ключ не совпадают.
Если клиент не осведомлен о том, в какой момент генерируется приватный ключ и где он сохраняется, то, вероятно, он получит такую ошибку.

Приватный ключ (одновременно с открытым ключом) формируется в момент генерации CSR запроса на сервере.
Администратор сервера может сохранить приватный ключ в любой директории сервера, т.к. не существует папки для приватных ключей по умолчанию.
Администратору сайта необходимо обязательно запомнить, в каком месте сервера и под каким именем он сохранил закрытый ключ.

Открытый (публичный) ключ передается в центр сертификации вместе с CSR запросом, который подписывается удостоверяющим центром, т.е. на основе которого впоследствии выпускается сам SSL-сертификат.

Затем подписанный публичный ключ необходимо установить одновременно с приватным ключом таким образом, чтобы эта пара ключей совпала. Несоответствие приватного и открытого ключей приведет к ошибке «x509_check_private_key:key values mismatch».

На совпадение или несовпадение приватного и публичного ключей Вам могут помочь указать поля под названием «MODULUS» и «PUBLIC EXPONENT».
Чтобы это проверить, просто запустите следующие две команды для приватного и публичного ключей:

openssl x509 -noout -text -in [path of public key]
openssl rsa -noout -text -in [path of private key]

Если поля «MODULUS» и «PUBLIC EXPONENT» совпадают для каждого из ключей, то и сами ключи соответствуют паре.

В случае, если поля не совпадают, вероятнее всего, Вы используете неверный приватный ключ.
Решений здесь может быть несколько, вот, некоторые из них:
1. Попробовать найти верный приватный ключ и повторить попытку;
2. Сгенерировать новый CSR запрос с новым приватным ключом и отправить запрос на перевыпуск сертификата.

Как правило, самому зачастую бывает сложно справиться с поставленной задачей, особенно, если Вы осваиваете SSL-направление впервые. У Вас всегда есть возможность обратиться к представителям удостоверяющих центров за необходимой помощью.
Если у Вас существует языковой барьер или другие сложности, Вы всегда можете обратиться к официальным партнерам центров сертификации.

Одним из таких партнеров является компания ЛидерТелекм, первая в России получившая статус Symantec WSS специалист, а также первый и единственный в РФ и странах СНГ стратегически партнер Comodo.

В компании ЛидерТелеком Вы можете приобрести такие SSL-сертификаты, как:
Comodo SSL- сертификаты: http://www.instantssl.su/
UCC SAN – сертификаты: http://www.getucc.ru/
Thawte сертификаты: http://www.thawte.su/
Symantec (Verisign) сертификаты: http://symantec.leadertelecom.ru/

Источник

Certificate installation on Apache webserver at times triggers the error message “Certificate routines:X509_check_private_key:key values mismatch”.

This usually happens during an Apache service restart.

As a part of our Server Management Services, we help our Customers to fix SSL related errors regularly.

Let us today discuss the possible causes and fixes for this error.

What causes “certificate routines:X509_check_private_key:key values mismatch” error?

As discussed earlier, restart of the Apache service while installing a certificate on the webserver at times yield a key values mismatch error. A typical error message looks like the one below:

[Fri Mar 07 14:59:57 2014] [error] SSL Library Error: 185073780 error:0B080074:x509 certificate routines:X509_check_private_key:key values mismatch

The most common reason for this error include

  1. Private key mismatch during the restart of the Apache service.
  2. Improper order of concatenation of the certificates

Private key mismatch

A major reason for this error is the usage of an incorrect private key along with the certificate received from the Certificate Authority. In reality, it implies that the private key in the VirtualHost section of the .conf file didn’t match the SSL Certificate in the same section.

For the webserver to accept a certificate, we should use the same private key along with the CSR code given for the certificate activation.

We can check whether the certificate matches the private key using the following OpenSSL commands:

openssl x509 -in /path/to/certificate.crt -noout -modulus | openssl sha1
openssl rsa -in /path/to/private.key -noout -modulus | openssl sha1

Replace the file names in the commands with the exact one for the certificate and private key. The first command applies to the certificate file from the Certificate Authority. The second one is for the private key.

If the outputs of the commands differ, this means that the chosen private key does not match the certificate.

Thus we will need to find another private key file on the server. The command below  will help us with it:

find / -name “*.key”

This command will find all files on the server with .key extensions. Once the keys are found, check their moduli using the OpenSSL rsa command listed above to locate one that matches.

If a private key with a modulus matching the certificate cannot be found, we need to generate a new CSR code and reissue the certificate.

Sometimes, we can fix the issue by creating a new CSR from the existing private key file. The command for this operation is:

openssl req -new -key your_domain_com.key -out your_domain_com.csr

 Improper order of concatenation of the certificates

Prior to Apache version 2.4.8, SSLCertificateFile was extended to load intermediate CA certificates from the server certificate file as well. It allowed the certificate file to contain the certificate as well as intermediate certificates.

Thus, it is important to place the end-entity certificate for a domain as the first certificate in this file, while intermediate certificates should be placed lower starting from the one that signs the end-entity certificate. Otherwise,it triggers the key values mismatch error.

This order correct order should be as follows: end-entity certificate (your_domain.crt) -> first intermediate -> second intermediate -> root.

[Need any further assistance in fixing SSL errors? – We’re available 24*7]

Conclusion

In short, “Certificate routines:X509_check_private_key:key values mismatch” triggers during SSL certificate installation. Today, we saw how our Support Engineers fix this error.

Источник

Понравилась статья? Поделить с друзьями:
  • Error ssl bypass verify the game files via steam перевод
  • Error ssh version 2 requires a encryption 3des aes activation key
  • Error ssh error data could not be sent to the remote host
  • Error srs mps скачать
  • Error srs asx скачать приложение