nginx增加了SSL证书,reload时报错
私钥与证书不匹配
nginx: [emerg] SSL_CTX_use_PrivateKey_file("/usr/local/nginx/ssl/ssl.key") failed
(SSL: error:0B080074:x509 certificate routines:X509_check_private_key:key values mismatch)
原因和解决方案
一般来讲,我们拿到的官方证书,不是最终的证书,而是一个中间证书intermediate.crt和一个根证书,需要我们把两个证书合成一个最终的证书。
- 证书顺序错误
调整证书顺序,一般是:服务器证书+CV证书的第二段 - 证书内容合并时末尾有空格
删除空格
为了避免空格出现,可以通过cat root.crt intermediate.crt > ca_****.crt来生成证书。
调整之后,使用openssl检查证书的私钥和证书是否匹配。方式如下:
检查证书的私钥和证书是否匹配
[root@--]# openssl x509 -noout -modulus -in ssl.crt | openssl md5
(stdin)= 8216eeaa8e1a346dd1f5dfecaadfec1d
[root@--]# openssl rsa -noout -modulus -in ssl.key | openssl md5
(stdin)= 8216eeaa8e1a346dd1f5dfecaadfec1d
两个一致,则nginx可以重启成功。
PS.证书路径
nginx SSL证书路径不支持'.'符号,如果路径中有'.'符号,则https不生效,网站依然显示不安全
错误例子: /etc/nginx/ssl/ssl.co.vn/t.key