Hallo,
ich schlage mich heute seit vielen Stunden mit einem Problem herum und finde keine Lösung:
Unter FreeBSD 10.4 + Apache 2.4.27 möchte ich für eine Domain ein SSL-Zertifikat einbinden.
Mein Domainprovider bietet für jede über ihn reg. Domain ein kostenloses Basis-Zertifikat von Symantec an.
Im SSL-Backend wird ein Befehl erzeugt, der auf Shelleben des Webservers einzugeben ist:
Der erzeugte CSR wird anschließend im gleichen Backend für die Bestellung des Zertifikats genutzt.
Hatte mich gegen DNS-Challenge entschieden und stattdessen "file" ausgewählt.
Das klappte auch alles einwandfrei!
In einem Verzeichnis meines Servers liegen nun:
domain.key
domain-server.crt
domain-ca-.crt
In der httpd.conf wird u. a.
etc/apache24/extra/httpd-ssl.conf
inkludiert und mod_ssl.so etc. aktiviert.
In der httpd-ssl.conf
habe ich die Verweise auf die o. a. .key und .crt-Dateien gesetzt:
#öffentlicher Schlüssel
SSLCertificateFile "/usr/local/www/apache24/ssl-zertifikate/domain-server.crt"
#privater Schlüssel
SSLCertificateKeyFile "/usr/local/www/apache24/ssl-zertifikate/domain.key"
#Zertifikatskette
SSLCertificateChainFile "/usr/local/www/apache24/ssl-zertifikate/domain-ca-.crt"
Ein apachectl -configtest zeigt alles okay an, aber der Start leider nicht:
Alle bisherigen Versuche, des Rätsels Lösung zu finden und das Ganze endlich zum Laufen zu bringen, schlugen fehl.
Gelegentlich scheint es wohl am falschen Format der Key-Datei zu liegen.
Auch
openssl rsa -in domain.key -out domain-rsa.key
brachte keinen Erfolg.
Hat noch jemand eine Idee, was ich probieren könnte?
Danke und Gruße
testit
ich schlage mich heute seit vielen Stunden mit einem Problem herum und finde keine Lösung:
Unter FreeBSD 10.4 + Apache 2.4.27 möchte ich für eine Domain ein SSL-Zertifikat einbinden.
Mein Domainprovider bietet für jede über ihn reg. Domain ein kostenloses Basis-Zertifikat von Symantec an.
Im SSL-Backend wird ein Befehl erzeugt, der auf Shelleben des Webservers einzugeben ist:
Code:
openssl req -new -newkey rsa:2048 -sha256 -nodes -out meine-domain.de.csr -keyout meine-domain.de.key -subj "/C=DE/ST=/L=/O=/CN=meine-domain.de"
Der erzeugte CSR wird anschließend im gleichen Backend für die Bestellung des Zertifikats genutzt.
Hatte mich gegen DNS-Challenge entschieden und stattdessen "file" ausgewählt.
Das klappte auch alles einwandfrei!
In einem Verzeichnis meines Servers liegen nun:
domain.key
domain-server.crt
domain-ca-.crt
In der httpd.conf wird u. a.
etc/apache24/extra/httpd-ssl.conf
inkludiert und mod_ssl.so etc. aktiviert.
In der httpd-ssl.conf
habe ich die Verweise auf die o. a. .key und .crt-Dateien gesetzt:
#öffentlicher Schlüssel
SSLCertificateFile "/usr/local/www/apache24/ssl-zertifikate/domain-server.crt"
#privater Schlüssel
SSLCertificateKeyFile "/usr/local/www/apache24/ssl-zertifikate/domain.key"
#Zertifikatskette
SSLCertificateChainFile "/usr/local/www/apache24/ssl-zertifikate/domain-ca-.crt"
Ein apachectl -configtest zeigt alles okay an, aber der Start leider nicht:
Code:
[Fri Oct 12 22:34:05.002655 2018] [ssl:emerg] [pid 42277] AH02572: Failed to configure at least one certificate and key for www.example.com:443
[Fri Oct 12 22:34:05.002882 2018] [ssl:emerg] [pid 42277] SSL Library Error: error:0906D06C:PEM routines:PEM_read_bio:no start line (Expecting: DH PARAMETERS) -- Bad file contents or format - or even just a forgotten SSLCertificateKeyFile?
[Fri Oct 12 22:34:05.002902 2018] [ssl:emerg] [pid 42277] SSL Library Error: error:0906D06C:PEM routines:PEM_read_bio:no start line (Expecting: EC PARAMETERS) -- Bad file contents or format - or even just a forgotten SSLCertificateKeyFile?
[Fri Oct 12 22:34:05.002922 2018] [ssl:emerg] [pid 42277] SSL Library Error: error:140A80B1:SSL routines:SSL_CTX_check_private_key:no certificate assigned
[Fri Oct 12 22:34:05.002936 2018] [ssl:emerg] [pid 42277] AH02311: Fatal error initialising mod_ssl, exiting. See /var/log/httpd-error.log for more information
Alle bisherigen Versuche, des Rätsels Lösung zu finden und das Ganze endlich zum Laufen zu bringen, schlugen fehl.
Gelegentlich scheint es wohl am falschen Format der Key-Datei zu liegen.
Auch
openssl rsa -in domain.key -out domain-rsa.key
brachte keinen Erfolg.
Hat noch jemand eine Idee, was ich probieren könnte?
Danke und Gruße
testit