Ошибка при установке SSL-сертификата на сервер MediaTemple GS
Вот что случилось:
Я генерирую CSR через сайт MediaTemple (это единственный способ сделать это. Так как GS является общим сервером). Отправьте его через namecheap.com (его подписывает RapidSSL).
Когда я вернул сертификат и CA. Пытался импортировать его обратно в храм СМИ. Я получаю
Ошибка "Ключ не совпадает".
Обратитесь в службу поддержки. Они просто продолжают перекладывать вину на другого. namecheap.com говорит, что генерируется ключ RSA (к которому у меня нет доступа). А медиа-храм просто обвиняет других людей, даже не пытаясь объяснить, что могло пойти не так.
Мой вопрос:
У кого-нибудь есть такая же проблема?
Что может быть причиной этой ошибки?
Спасибо
3 ответа
Я часто сталкиваюсь с подобной проблемой, но это потому, что я генерирую множество сертификатов вручную и пою их с помощью внутреннего ЦС.
Причина проблемы довольно проста: закрытый ключ, который хранится на вашем сервере, не совпадает с открытым ключом, встроенным в ваш сертификат.
Самой частой причиной этой ошибки, безусловно, является ошибка оператора, иногда оправдываемая плохо разработанным программным обеспечением. По сути, часто случается, что вы генерируете пару ключей и CSR (запрос на подпись сертификата), отправляете CSR, а затем заново генерируете новую пару ключей. Если программа слишком тупа, чтобы запомнить более одного ключа, она потеряет ранее созданный закрытый ключ.
Решение для такого рода проблем, если вы не хотите просто передать работу оператору сервера. это генерировать все локально (использование OpenSSL - лучший вариант) и быть осторожным с генерируемым вами закрытым ключом (для этого я использую локальный репозиторий Mercurial, который позволяет мне отслеживать то, что было сгенерировано, и, при необходимости, вернуться назад во время). Получив подписанный сертификат, вы отправляете его вместе с закрытым ключом на сервер.
Джоэл Чу, я не знаю, поможет ли это вам, но, возможно, я надеюсь помочь другим пользователям MediaTemple. Я потратил целый день на настройку сертификата, генерируемого certbot, на общем хосте MediaTemple GridServer, но это должно работать и с Acme PHP и другими генераторами:
Решение, недокументированное, насколько я могу сказать:
1. вставьте первый сертификат, сгенерированный на fullchain.pem, в поле Certificate.
2. вставьте второй сертификат, сгенерированный на fullchain.pem, в поле CA /Chain Certificate.
3. вставьте ключ, сгенерированный в privatekey.pen, но с подробностями в первой и последней строках.
Они ДОЛЖНЫ иметь ключевое слово RSA:
Заменить существующий -----BEGIN PRIVATE KEY----- (или что там есть в файле)
с участием:
-----BEGIN RSA PRIVATE KEY-----
Вы должны сделать то же самое для последней строки. Следует читать:
-----END RSA PRIVATE KEY-----
После этого я смог добавить сертификат в свой домен, и он был принят MT.
Надеюсь это поможет
У меня была та же проблема, и я решил ее, повторно выдав сертификат и стараясь не закрывать вкладку mediatemple, которую я использовал для создания запроса CSR. Получив новый сертификат, я воспользовался той же вкладкой, чтобы вернуться назад и импортировать сертификат.
В первый раз, когда я сделал это (и получил эту ошибку), я закрыл вкладку mediatemple CSR (и, возможно, даже перезагрузил ее перед тем, как сделать это), что могло привести к тому, что программное обеспечение mediatemple сгенерировало новый ключ, вызвав несоответствие ключей.