[Apache2] Probleme de certificat SSL

Support Debian
#1

Bonjour à tous, c’est mon premier post sur le forum!

Donc voila mon problème :

Je dois sécuriser un site web à l’aide d’un certificat SSL. Le site est hébergé sur une Debian, et tourne avec Apache2/Mysql.

J’ai acheté le certificat chez Namebay, qui m’a fourni un fichier crt. Sur leur site ils expliquent que suite à l’obtention de ce fichier, je dois générer une clef privée, donc je l’ai fait comme ça :

Ensuite ils me disent de générer un CSR :

Avec comme indications :

[quote]Entrez les informations relatives à votre organisation dans le Certificate Signing Request (CSR). Ces informations seront auditées par l’Autorité de Certification et seront présentes dans le certificat.

Note : Les caractères suivants ne sont pas acceptés: é è ^ à < > ~ ! @ # $ % ^ * / \ ( ) ?.,&

Country Name (2 letter code) [AU]: FR
State or Province Name (full name) [Some-State]: Nord
Locality Name (eg, city) []: Roubaix
Organization Name (eg, company) [Internet Widgits Pty Ltd]: SSL247 SARL (TELLE qu’au KBIS!)
Organizational Unit Name (eg, section) []: IT
Common Name (eg, YOUR name) []: [SSL247.fr](http://www.SSL247.fr) (Doit être le FQDN complet - Fully Qualifed Domain Name)

Note: Ne pas remplir les champs suivants:

Email Address []:
A challenge password []:
An optional company name []:

[/quote]

Donc ça c’est fait.

Ensuite ils me demandent de récupérer un certificat intermédiaire chez eux. Chose faite ici --> http://www.namebay.com/cert/installer-certificat-SSL/index.htm

et ensuite :

[quote]3. Copiez les deux fichiers dans le dossier sur votre serveur où vous souhaitez garder le certificat et la clef.

  1. Trouvez votre fichier de configuration Apache. Ce fichier est généralement situé dans /etc/httpd/. Le fichier s’appelle httpd.conf.

  2. Trouvez les blocs dans httpd.conf. Si vous avez besoin de rendre votre site accessible par https et http, vous avez besoin d’un virtual host pour chaque type de connection. Faites une copie de l’actuel non-sécurisé virtual host et configurez le pour le SSL. Si vous souhaitez rendre votre site accessible uniquement par https, modifiez le virtual host existant.

  3. Configurez le bloc pour activer le SSL.

<VirtualHost 192.168.0.1:443>
DocumentRoot /var/www/html2
ServerName yourdomain.com
SSLEngine on
SSLCertificateFile /path/to/your_domain_name.crt
SSLCertificateKeyFile /path/to/your_private.key
SSLCertificateChainFile /path/to/intermediate_certificate.crt
[/quote]

Donc c’est ce que j’ai fait mais au lancement d’apache :

[Thu Jul 07 09:34:10 2011] [error] Unable to configure RSA server private key
[Thu Jul 07 09:34:10 2011] [error] SSL Library Error: 185073780 error:0B080074:x509 certificate routines:X509_check_private_key:key values mismatch

Voila je suis perdu, ça fait 3 jours que je bloque la dessus!!

Si vous avez des idées, je suis preneur!!

Merci d’avances ,

Nicolas

#2

salut
regarde si tu na pas un fichier de log ssl du type /var/log/httpd/ssl_error_log ou autre

si oui affiche le

#3

merci de ta réponse!!

Alors voila :

tail /var/log/apache2/error.log

[Thu Jul 07 09:34:10 2011] [error] Unable to configure RSA server private key
[Thu Jul 07 09:34:10 2011] [error] SSL Library Error: 185073780 error:0B080074:x509 certificate routines:X509_check_private_key:key values mismatch

Mais pas de log spécifique au SSL

#4

pas le fichier error.log de apache

mais un fichier de log de SSL

#5

non je n’ai pas ça, j’ai ça :

ls /var/log/apache2/ access.log error.log other_vhosts_access.log

#6

ton message signifie que la clé et le certificat SSL ne correspondent pas

test ton domaine

openssl s_client -connect mon-domaine.fr:443
#7 
root@www:~# openssl s_client -connect www.sepa-direct.org:443
connect: Connection refused
connect:errno=111
root@www:~#

le www est indispensable, sepa-direct.org étant redirigé vers autre chose.

Le connection refused n’est pas étonnant, apache n’est pas lancé

tu penses que le certificat est pour sepa-direct.org, et pas pour sepa-direct.org??

EDIT : le mail portait cet intitulé :

[quote]Bonjour,

Nous avons le plaisir de vous annoncer que votre demande de certificat pour le nom www.sepa-direct.org a été validé.
[/quote]

#8

affiche ton virtualhost complet

#9

root@www:~# cat /etc/apache2/sites-enabled/002-Ssl <VirtualHost 10.111.2.169:443> ServerName www.sepa-direct.org DocumentRoot /var/www/had SSLEngine On SSLCertificateFile /etc/apache2/pma.crt SSLCertificateKeyFile /etc/apache2/pma.key SSLCertificateChainFile /etc/apache2/inter.crt CustomLog /var/log/apache2/pma/access_log combined ErrorLog /var/log/apache2/pma/error_log </VirtualHost> root@www:~#

#10

j’ai l’impression que tu as un sac de nœuds dans ton Vhost

1 - vi /etc/apache2/sites-enabled/www.sepa-direct.org
dedans mettre:

[quote]<VirtualHost 10.111.2.169:443>
ServerName www.sepa-direct.org
DocumentRoot /var/www/www.sepa-direct.org
SSLEngine On
SSLCertificateFile /etc/apache2/pma.crt
SSLCertificateKeyFile /etc/apache2/pma.key
SSLCertificateChainFile /etc/apache2/inter.crt
CustomLog /var/log/apache2/pma/access_log combined
ErrorLog /var/log/apache2/pma/error_log
[/quote]

c’est quoi pma ??

faire a2ensite www.sepa-direct.org

vire le lien de 002-Ssl

#11

Alors dans l’ordre :

root@www:~# ls /etc/apache2/sites-enabled/
000-default  www.sepa-direct.org

ensuite :

[code]cat /etc/apache2/sites-enabled/www.sepa-direct.org

<VirtualHost 10.111.2.169:443>
ServerName www.sepa-direct.org
DocumentRoot /var/www/had
SSLEngine On
SSLCertificateFile /etc/apache2/pma.crt
SSLCertificateKeyFile /etc/apache2/pma.key
SSLCertificateChainFile /etc/apache2/inter.crt
CustomLog /var/log/apache2/pma/access_log combined
ErrorLog /var/log/apache2/pma/error_log

[/code]

Et pma c’est rien, sur l’exemple que j’ai suivi, pma = phpmyadmin, la personne voulait sécuriser en https son phpmyadmin :smiley:

#12

suite à ça : root@www:~# /etc/init.d/apache2 restart Restarting web server: apache2Action 'start' failed. The Apache error log may have more information. failed!

et le errors.log :

[Thu Jul 07 09:34:10 2011] [error] Unable to configure RSA server private key
[Thu Jul 07 09:34:10 2011] [error] SSL Library Error: 185073780 error:0B080074:x509 certificate routines:X509_check_private_key:key values mismatch
root@www:~#
#13

lance un : apachectl configtest

#14

root@www:~# apachectl configtest Syntax OK root@www:~#

:119 c’est dingue!!

#15

reconstruit ton certificat en renseignant bien le Common Name ici tu doit mettre ton non de domaine pour lequel il a été pris
exemple: www.mon-domaine.fr et vérifie bien les chemins

je vois que ca il y a eue peut être une erreur dans le certificat dans la saisie des champs